Equipa de investigação da Semperis

Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a protegerem-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram violações do sistema de identidade para introduzir ou propagar malware.

Este mês, a equipa de investigação da Semperis destaca a ligação do Active Directory ao ataque Microsoft Exchange Hanium e a outros ataques relacionados com a identidade, incluindo o código-fonte Mimecast roubado, uma violação da plataforma de vídeo Verdaka e um ataque de ransomware ao retalhista FatFace.

A violação do Microsoft Exchange envolveu cópias roubadas de bases de dados do AD

A violação do Microsoft Exchange pela Hafnium visou os servidores Exchange locais das empresas vítimas e permitiu que os atacantes comprometessem o Active Directory, de acordo com a Volexity. Para além de realizar operações para descarregar credenciais e adicionar contas de utilizador, o atacante conseguiu roubar cópias das bases de dados do Active Directory e deslocar-se lateralmente para outros sistemas e ambientes.

Ler mais

 

Os atacantes da SolarWinds visaram os sistemas AD da Mimecast para aceder ao código-fonte

Os atacantes responsáveis pela violação da SolarWinds também visaram a Mimecast, roubando um certificado utilizado para autenticar clientes e descarregando o código-fonte. O agente da ameaça acedeu ao ambiente Windows da Mimecast e utilizou credenciais de contas de serviço para violar os sistemas locais e os serviços na nuvem da Mimecast, incluindo o Azure Active Directory.

Ler mais

 

Os atacantes utilizaram credenciais de administrador para violar a rede de vídeo da Verdaka

O grupo APT-69420 Arson Cats acedeu a credenciais de super administrador para violar mais de 150.000 câmaras de vigilância geridas pela Verdaka, uma plataforma de software que integra câmaras de segurança de vídeo, soluções de controlo de acesso e outras tecnologias. Depois de encontrarem as credenciais num plugin exposto publicamente no servidor da Verdaka, os atacantes iniciaram sessão na aplicação Web da empresa com privilégios elevados e navegaram através de feeds de vídeo em directo de milhares de câmaras.

Ler mais

Grupo de ataque aconselha a vítima FatFace a rever as políticas de AD

Depois de exigir um resgate de 2 milhões de dólares, o grupo de ataque Conti aconselhou a sua vítima, o retalhista de moda FatFace, a rever a sua política de palavras-passe do Active Directory. O Conti também aconselhou a FatFace a implementar outras medidas preventivas, tais como a implementação de filtragem de correio electrónico, a realização de testes de phishing aos funcionários, o investimento numa melhor tecnologia de detecção e resposta de endpoints e a implementação de armazenamento offline e de cópias de segurança baseadas em cassetes. O grupo obteve acesso à rede da FatFace através de um ataque de phishing, obteve direitos administrativos gerais e extraiu dados de servidores de cópia de segurança e dispositivos de armazenamento.

Ler mais

Mais recursos

Pretende reforçar as defesas do seu Active Directory contra ciberataques? Consulte os nossos recursos mais recentes.