Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca los ataques de ransomware en Ucrania vinculados al grupo ruso Sandworm, los ataques del grupo LockBit al condado de Virginia y al grupo automovilístico alemán Continental, y los ataques de Vice Society al Cincinnati College, uno más en la cadena de ataques del grupo a instituciones educativas.
Ataques de ransomware en Ucrania vinculados al grupo ruso Sandworm
Los recientes ataques a Ucrania se han relacionado con el grupo cibercriminal ruso Sandworm, que utiliza RansomBoggs -un ransomware .NET distribuido desde controladores de dominio- para cifrar archivos. El grupo Sandworm, activo desde la década de 1990, es sospechoso de haber desarrollado el ransomware NotPetya, que afectó a la naviera Maersk, entre otras organizaciones, en 2017.
La banda LockBit reivindica ataques contra el condado de Virginia y el grupo automovilístico Continental
El grupo de ransomware LockBit 3.0 reivindicó la autoría de ciberataques en el condado de Southampton, Virginia, que comprometieron datos personales, incluidos los números del permiso de conducir y de la Seguridad Social. LockBit también reivindicó un ataque contra el grupo automovilístico alemán Continental.
El grupo Vice Society reivindica el ataque a la universidad de Cincinnati
El grupo de ransomware Vice Society reivindicó la autoría de un ataque de ransomware contra el Cincinnati College que dejó fuera de servicio las redes del centro, incluidos el correo electrónico, el acceso a Internet y los ordenadores de las aulas. Vice Society, que ha atacado a instituciones educativas desde el jardín de infancia hasta universidades, utiliza ransomware como BlackCat para comprometer Active Directory y hacerse con el control del entorno de red de la organización víctima.
El grupo de ransomware Black Basta ataca al minorista canadiense de alimentación Sobeys
El gigante canadiense de la distribución alimentaria Sobeys sufrió un ataque de ransomware reivindicado por el grupo Black Basta que causó problemas informáticos en toda la empresa. Aunque las tiendas permanecieron abiertas, se retrasaron los servicios en tienda, incluida la entrega de recetas. Black Basta utiliza varias tácticas para comprometer los sistemas, incluido el despliegue de QBot, que extrae las credenciales de dominio de Windows y luego deja caer el malware en los dispositivos infectados.
Más recursos
- SyncJacking: Una vulnerabilidad de Hard Matching permite la toma de control de cuentas de Azure AD | Semperis
- Active Directory Forest Recovery Presenta una nueva herramienta de aprovisionamiento de sistemas operativos | Semperis
- Por qué las instantáneas de DC no sustituyen a las copias de seguridad de Active Directory | Semperis
