Microsoft dijo el miércoles que una función de contención de usuarios en Microsoft Defender para Endpoint ayudó a frustrar un «intento de cifrado remoto a gran escala» realizado por los actores del ransomware Akira dirigido a una organización industrial desconocida a principios de junio de 2023.

El equipo de inteligencia de amenazas del gigante tecnológico está rastreando al operador como Storm-1567.

El ataque aprovechó los dispositivos que no estaban incorporados a Microsoft Defender para Endpoint como táctica de evasión de defensa, al mismo tiempo que realizaba una serie de actividades de reconocimiento y movimiento lateral antes de cifrar los dispositivos utilizando una cuenta de usuario comprometida.

ransomware akira

Pero la nueva capacidad de interrupción automática del ataque significó que las cuentas violadas no puedan «acceder a puntos finales y otros recursos en la red, lo que limita la capacidad de los atacantes para moverse lateralmente sin importar el estado de Active Directory o el nivel de privilegio de la cuenta».

En otras palabras, la idea es cortar todas las comunicaciones entrantes y salientes y prohibir que los ataques operados por humanos accedan a otros dispositivos de la red.

Redmond también dijo que su plataforma de seguridad de endpoints empresariales interrumpió los intentos de movimiento lateral contra un laboratorio de investigación médica en agosto de 2023, en los que el adversario restableció la contraseña de una cuenta de administrador de dominio predeterminada para acciones posteriores.

ransomware akira

«Las cuentas de usuario con privilegios elevados son posiblemente los activos más importantes para los atacantes», afirmó Microsoft . «Las cuentas de nivel de administrador de dominio comprometidas en entornos que utilizan soluciones tradicionales brindan a los atacantes acceso a Active Directory y podrían subvertir los mecanismos de seguridad tradicionales».

«Por lo tanto, identificar y contener estas cuentas de usuario comprometidas evita que los ataques progresen, incluso si los atacantes obtienen acceso inicial».

Fuente y redacción: thehackernews.com

Compartir