Los ciberataques dirigidos a Active Directory van en aumento, lo que presiona a los equipos de AD, identidad y seguridad para que vigilen el panorama de amenazas centradas en AD, que cambia constantemente. Para ayudar a los profesionales de TI a entender mejor y protegerse contra los ataques que involucran AD, el equipo de investigación de Semperis ofrece este resumen mensual de los ciberataques recientes que utilizaron AD para introducir o propagar malware.
Este mes, el equipo de investigación de Semperis destaca las advertencias de Microsoft sobre la nueva campaña de ransomware Prestige, más actividad de Hive y nuevos ataques de día cero a Exchange Server.
Microsoft advierte sobre el ransomware Prestige
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) advirtió sobre una novedosa campaña de ransomware contra organizaciones de transporte y logística en Ucrania y Polonia. Los atacantes aprovechan el acceso a credenciales muy privilegiadas, como las de administrador de dominio, para propagar el malware mediante tácticas que incluyen la copia de la carga útil del ransomware en un controlador de dominio de Active Directory y su despliegue a través del objeto de directiva de grupo de dominio predeterminado.
El grupo de ransomware Hive ataca a la empresa energética india Tata Power
El grupo de ransomware Hive reivindicó la autoría de un ciberataque contra la empresa energética india Tata Power que comprometió los sistemas informáticos y filtró datos robados de los empleados. Entre otras tácticas, Hive, que también reivindicó el reciente ataque al gobierno de Costa Rica, utiliza software de administración remota para infiltrarse en los sistemas y establecer persistencia, y luego despliega herramientas como ADRecon para mapear el entorno AD.
Microsoft advierte de nuevos ataques de día cero a Exchange Server
Los atacantes están utilizando nuevos exploits de día cero para comprometer redes y robar datos mediante el acceso a servicios internos y la ejecución de código remoto. Las vulnerabilidades permiten a los atacantes "acceso práctico al teclado", que utilizan para llevar a cabo el reconocimiento de Active Directory.
El grupo de ransomware LockBit ataca al concesionario de coches británico Pendragon
La banda de ransomware LockBit atacó el grupo Pendragon, propietario de 200 concesionarios de automóviles en el Reino Unido, supuestamente robando algunos datos pero sin conseguir extraer el rescate de Pendragon. El grupo LockBit utiliza varias tácticas, técnicas y procedimientos (TTP) para comprometer a las organizaciones víctimas, incluyendo el abuso de las políticas de grupo AD para cifrar dispositivos a través de dominios de Windows.
Más recursos
