Os ciberataques que visam o Active Directory estão a aumentar, o que pressiona as equipas de AD, identidade e segurança a monitorizarem o cenário de ameaças em constante mudança centrado no AD. Para ajudar os profissionais de TI a compreender melhor e a proteger-se contra ataques que envolvem o AD, a equipa de investigação da Semperis oferece este resumo mensal de ciberataques recentes que utilizaram o AD para introduzir ou propagar malware.
Este mês, a equipa de investigação da Semperis destaca os avisos da Microsoft sobre a nova campanha de ransomware Prestige, mais actividade do Hive e novos ataques de dia zero ao Exchange Server.
A Microsoft alerta para o ransomware Prestige
O Microsoft Threat Intelligence Center (MSTIC) alertou para uma nova campanha de ransomware contra organizações de transporte e logística na Ucrânia e na Polónia. Os atacantes aproveitam o acesso a credenciais altamente privilegiadas, como administrador de domínio, para propagar o malware através de tácticas que incluem a cópia do payload do ransomware para um controlador de domínio do Active Directory e a implementação através do Objecto de Política de Grupo do Domínio Predefinido.
"O grupo de “ransomware”, Hive, atinge a empresa de energia indiana Tata Power"
O grupo de ransomware Hive reivindicou a responsabilidade por um ciberataque à empresa indiana de energia Tata Power, que comprometeu os sistemas informáticos e divulgou dados roubados a funcionários. Entre outras tácticas, o Hive, que também reivindicou a responsabilidade pelo recente ataque ao governo da Costa Rica, utiliza software de administração remota para se infiltrar nos sistemas e estabelecer a persistência, utilizando depois ferramentas como o ADRecon para mapear o ambiente AD.
Microsoft alerta para novos ataques de dia zero ao Exchange Server
Os atacantes estão a utilizar novas explorações de dia zero para comprometer redes e roubar dados, obtendo acesso a serviços internos e executando código remoto. As vulnerabilidades permitem aos atacantes "acesso prático ao teclado", que utilizam para efectuar o reconhecimento do Active Directory.
O grupo de ransomware LockBit tem como alvo o concessionário de automóveis britânico Pendragon
O grupo de ransomware LockBit violou o Pendragon Group, que possui 200 concessionários de automóveis no Reino Unido, tendo alegadamente roubado alguns dados, mas não tendo conseguido obter o resgate do Pendragon. O grupo LockBit utiliza várias tácticas, técnicas e procedimentos (TTPs) para comprometer as organizações vítimas, incluindo o abuso das políticas de grupo do AD para encriptar dispositivos em domínios Windows.
Mais recursos
