Ataques de ransomware a Active Directory

Organizaciones de todo el mundo utilizan Active Directory (AD) como su principal servicio de identidad, lo que lo convierte en un objetivo principal para los ataques de ransomware. Este artículo explica cómo los adversarios explotan Active Directory durante los ataques de ransomware y proporciona estrategias y herramientas para defenderse contra esta amenaza moderna.

Las dos fases de un ataque de ransomware

Un error común acerca de los ataques de ransomware es que son rápidos: Alguien abre un archivo adjunto de correo electrónico infectado o inserta un dispositivo USB infectado, y en cuestión de minutos los datos a través de la red están cifrados y una demanda de rescate se muestra en todas las pantallas.

La realidad es bastante distinta. Los ataques de ransomware hoy en día tienden a ser bastante sofisticados y metódicos. Para cifrar la mayor cantidad de información sensible posible y así maximizar las posibilidades de recibir un alto pago, los atacantes proceden en dos fases:

1. Encuentre un punto de entrada — El primer paso es obtener un punto de apoyo en la red de la organización víctima. Una estrategia común es comprometer las credenciales de Active Directory de un usuario utilizando tácticas como el phishing o la adivinación de contraseñas.
2. Ampliar su alcance — Con solo una cuenta de usuario empresarial ordinaria, un adversario tiene acceso limitado a sistemas críticos y datos. En consecuencia, buscan vulnerabilidades en Active Directory que puedan explotar para ampliar sus derechos. Una táctica es agregar la cuenta que ya controlan a grupos de seguridad que tienen permisos más extensos; los grupos vacíos son un objetivo común porque es probable que no se estén gestionando cuidadosamente y la adición de un nuevo miembro puede pasar desapercibida. Otra opción es comprometer otras cuentas de usuarios que ya tienen permisos de acceso privilegiado, por ejemplo, obteniendo credenciales de administrador en caché en el endpoint que ya controlan.

Una vez que los adversarios tienen el acceso que desean, ejecutan el ransomware para cifrar todos los datos a los que pueden llegar, lo que puede incluir contenido almacenado en la nube. En muchos casos, lo copian antes de cifrarlo para poder amenazar con divulgarlo como palanca adicional para que se realice el pago. A menudo también intentan cifrar o eliminar los datos de respaldo para que las víctimas tengan más probabilidades de cumplir con la demanda de rescate.

Métodos de ataque de ransomware que explotan Active Directory

Aquí hay algunas maneras en que los ciberdelincuentes han explotado Active Directory para llevar a cabo ataques de ransomware:

Violación de una red utilizando una cuenta de AD deshabilitada

En el ataque de 2021 a Colonial Pipeline, una banda conocida como DarkSide obtuvo acceso a la red a través de una cuenta de Active Directory deshabilitada. Comprometieron la cuenta utilizando ya sea una lista de contraseñas comunes o volcados de contraseñas vulneradas disponibles en la dark web. Las cuentas deshabilitadas son fruta de fácil alcance para los actores de amenazas porque su toma de control es menos probable que sea notada que el compromiso de una cuenta activa.

Propagación de ransomware utilizando Active Directory Group Policy

Group Policy es una característica poderosa de Active Directory que los administradores utilizan para mantener la seguridad y la productividad de los usuarios. Los actores de ransomware pueden abusar de Group Policy para distribuir sus cargas maliciosas.

Por ejemplo, el ransomware Ryuk a menudo se distribuye a través de objetos de directiva de grupo (GPOs) que los adversarios modifican o crean. Específicamente, insertan Ryuk en el Active Directory log de script, lo que infecta a cualquiera que inicie sesión en el servidor de Active Directory.

Propagación de ransomware a través de la compartición SYSVOL de Active Directory

Otra forma en que los grupos de ransomware explotan Active Directory es utilizando la compartición SYSVOL. SYSVOL almacena archivos públicos del dominio y es legible para todos los usuarios autenticados. Una vez que los adversarios tienen derechos de acceso privilegiado, modifican SYSVOL para programar tareas que infecten dispositivos y los monitoreen.

Obtener acceso explotando una vulnerabilidad de SharePoint

Los actores de ransomware y otros adversarios también pueden obtener un punto de apoyo en un entorno de AD explotando vulnerabilidades sin parchear. Por ejemplo, en 2019, hackers explotaron una vulnerabilidad en Microsoft SharePoint en las Naciones Unidas; a pesar de que Microsoft había lanzado el parche para la vulnerabilidad, la ONU no había actualizado el software de manera oportuna. Aunque este ataque no involucró la liberación de ransomware, los datos personales de casi 4,000 miembros del personal de la ONU fueron comprometidos.

Cómo defenderse de los ataques de ransomware en Active Directory

Planear simplemente pagar el rescate no es una estrategia viable contra el ransomware. No hay garantía de que realmente obtendrás la clave de descifrado, y podrías ser más propenso a ser objetivo de nuevo. Sin embargo, existen estrategias efectivas para reducir el riesgo de sufrir una infección por ransomware y minimizar el daño si ocurre una. Aquí están las mejores prácticas más importantes.

Limpie las cuentas y grupos de AD

Asegúrese de que cada usuario tenga solo los permisos necesarios para realizar sus funciones laborales. Elimine cualquier cuenta de AD y grupos de seguridad que ya no sean necesarios, y asegúrese de que cada grupo restante tenga un propietario designado (o propietarios) que deba revisar regularmente los permisos y la membresía del grupo.

Minimice las cuentas privilegiadas

Los actores maliciosos, incluidas las bandas de ransomware, pueden causar el mayor daño cuando comprometen una cuenta con altos privilegios. Por lo tanto, es esencial limitar estrictamente la membresía en todos los grupos privilegiados, especialmente en aquellos con gran poder como Enterprise Admins, Domain Admins y Schema Admins.

Aún mejor, adopte un moderno Privileged Access Management (PAM) que le permite reemplazar las cuentas privilegiadas permanentes con acceso justo a tiempo, justo lo necesario.

Actualice el software con prontitud

Las empresas de software lanzan parches con frecuencia para solucionar vulnerabilidades en sus soluciones y proporcionan versiones actualizadas que mejoran la seguridad de manera regular. Asegúrese de que su sistema operativo Windows Server y otros sistemas de software estén siempre actualizados con los últimos parches, y nunca ejecute software que haya alcanzado el fin de su vida útil y que ya no reciba actualizaciones de seguridad.

Implemente Zero Trust y autenticación multifactor (MFA)

A Zero Trust security model coupled with MFA helps thwart adversaries, both when they are trying to enter your network and when they attempt to move laterally and elevate their permissions. MFA renders stolen passwords useless, and Zero Trust means that even after a user has authenticated, suspicious or risky activity will be met with additional authentication demands.

Invierta en detección y respuesta avanzadas de amenazas

Como se explicó anteriormente, los actores del ransomware suelen pasar tiempo moviéndose a través de la red en busca de credenciales más poderosas y activos valiosos. Es esencial monitorear constantemente el entorno en busca de cualquier actividad sospechosa. Además, la tecnología moderna de distracción lleva a los atacantes a revelarse utilizando técnicas como honeypots.

Eduque a todos los usuarios

Uno de los enfoques más efectivos para proteger Active Directory es educar a todos los usuarios de la organización sobre las tácticas que utilizan los adversarios para plantar ransomware, como correos electrónicos de phishing con enlaces o adjuntos maliciosos. Realice sesiones de capacitación frecuentes y evalúe su efectividad con pruebas como correos electrónicos similares al phishing.

Prepárese para un evento de ransomware

Tener playbooks para responder a ataques de ransomware ayudará a garantizar una respuesta rápida y efectiva. Algunas soluciones incluso pueden tomar automáticamente acciones específicas cuando se detecta una amenaza conocida. Además, asegúrese de hacer una copia de seguridad de Active Directory, almacenar los datos fuera del alcance del ransomware y practicar el proceso de recuperación de manera regular.

Asegurando Active Directory con Netwrix Directory Manager

Implementing best practices for Active Directory security is a complex and time-consuming task. Netwrix Directory Manager is a comprehensive identity and access management solution that simplifies and automates the work. For example, with Netwrix Directory Manager, you can:

• Mantenga la membresía de grupo de seguridad de AD actualizada automáticamente
• Asegúrese de que cada grupo tenga un propietario, e incluso asigne varios propietarios
• Permita a los usuarios restablecer de forma segura sus propias contraseñas y desbloquear sus cuentas
• Implemente la autenticación multifactor
• Implemente requisitos de complejidad de contraseña
• Informe sobre la salud del directorio

FAQ

¿El ransomware cifra Active Directory?

Sí, el ransomware puede cifrar los archivos de Active Directory.

¿Por qué los hackers atacan Active Directory?

Active Directory juega un papel central en la gestión de identidades y su acceso a los recursos de la red, lo que lo convierte en un punto de entrada lucrativo.

¿Qué son los ataques a Active Directory?

Los ataques a Active Directory incluyen la compromisión de credenciales de usuario, la manipulación de la membresía y permisos de grupos de seguridad, y la alteración de objetos de Directiva de Grupo.

¿Es Active Directory vulnerable?

Sí. Active Directory es un sistema complejo que a menudo tiene cuentas con exceso de privilegios, políticas de seguridad mal configuradas y otras vulnerabilidades que los adversarios pueden explotar.