Microsoft Defender frustra el ataque de ransomware Akira a gran escala


12 de octubre de 2023Sala de redacciónInteligencia de amenazas /

Microsoft dijo el miércoles que una función de contención de usuarios en Microsoft Defender para Endpoint ayudó a frustrar un “intento de cifrado remoto a gran escala” realizado por los actores del ransomware Akira dirigido a una organización industrial desconocida a principios de junio de 2023.

El equipo de inteligencia de amenazas del gigante tecnológico está rastreando al operador como Storm-1567.

El ataque aprovechó los dispositivos que no estaban incorporados a Microsoft Defender para Endpoint como táctica de evasión de defensa, al mismo tiempo que realizaba una serie de actividades de reconocimiento y movimiento lateral antes de cifrar los dispositivos utilizando una cuenta de usuario comprometida.

pero lo nuevo capacidad de interrupción automática de ataques significó que las cuentas violadas no pueden “acceder a puntos finales y otros recursos en la red, lo que limita la capacidad de los atacantes para moverse lateralmente independientemente del estado de Active Directory o el nivel de privilegio de la cuenta”.

La seguridad cibernética

En otras palabras, la idea es cortar todas las comunicaciones entrantes y salientes y prohibir que los ataques operados por humanos accedan a otros dispositivos de la red.

Redmond también dijo que su plataforma de seguridad de endpoints empresariales interrumpió los intentos de movimiento lateral contra un laboratorio de investigación médica en agosto de 2023, en los que el adversario restableció la contraseña de una cuenta de administrador de dominio predeterminada para acciones posteriores.

ransomware akira

“Las cuentas de usuario con privilegios elevados son posiblemente los activos más importantes para los atacantes”, Microsoft dicho. “Las cuentas de nivel de administrador de dominio comprometidas en entornos que utilizan soluciones tradicionales brindan a los atacantes acceso a Active Directory y podrían subvertir los mecanismos de seguridad tradicionales”.

“Por lo tanto, identificar y contener estas cuentas de usuario comprometidas evita que los ataques progresen, incluso si los atacantes obtienen acceso inicial”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57