Attacchi ransomware di Active Directory

Le due fasi di un attacco ransomware

Un errore comune riguardo agli attacchi ransomware è che siano rapidi: qualcuno apre un allegato email infetto o inserisce un dispositivo USB infetto, e in pochi minuti i dati in tutta la rete vengono criptati e una richiesta di riscatto viene visualizzata su ogni schermo.

La realtà è piuttosto diversa. Gli attacchi di ransomware oggi tendono ad essere molto sofisticati e metodici. Per criptare quante più informazioni sensibili possibile e quindi massimizzare le possibilità di ricevere un alto pagamento, gli aggressori procedono in due fasi:

1. Trova un punto di ingresso — Il primo passo è ottenere un punto d'appoggio nella rete dell'organizzazione vittima. Una strategia comune è compromettere le credenziali di Active Directory di un utente utilizzando tattiche come il phishing o l'indovinare la password.
2. Estendere la loro portata — Con un semplice account utente aziendale, un avversario ha accesso limitato ai sistemi critici e ai dati. Di conseguenza, cercano vulnerabilità in Active Directory che possono sfruttare per ampliare i propri diritti. Una tattica consiste nell'aggiungere l'account che già controllano a gruppi di sicurezza che dispongono di permessi più estesi; i gruppi vuoti sono un bersaglio comune perché probabilmente non vengono gestiti con attenzione e l'aggiunta di un nuovo membro potrebbe passare inosservata. Un'altra opzione è compromettere gli account di altri utenti che hanno già permessi di accesso privilegiato, ad esempio ottenendo credenziali di amministratore memorizzate nella cache sull'endpoint che già controllano.

Una volta che gli avversari hanno ottenuto l'accesso desiderato, eseguono il ransomware per criptare tutti i dati a cui possono accedere, il che può includere contenuti memorizzati nel cloud. In molti casi, ne fanno una copia prima della criptazione in modo da poter minacciare di divulgarli come ulteriore leva per ottenere il pagamento. Spesso tentano anche di criptare o eliminare i dati di backup in modo che le vittime siano più propense a soddisfare la richiesta di riscatto.

Contenuti correlati selezionati:

• [Guida Gratuita] Migliori pratiche per la prevenzione di ransomware

Metodi di attacco ransomware che sfruttano Active Directory

Ecco alcuni modi in cui i cybercriminali hanno sfruttato Active Directory per eseguire attacchi ransomware:

Violazione di una rete utilizzando un account AD disabilitato

Nell'attacco del 2021 a Colonial Pipeline, una banda nota come DarkSide ha ottenuto l'accesso alla rete attraverso un account di Active Directory disabilitato. Hanno compromesso l'account utilizzando o una lista di password comuni o raccolte di password violate disponibili sul dark web. Gli account disabilitati sono un bersaglio facile per gli attori delle minacce perché la loro presa di controllo è meno probabile che venga notata rispetto al compromesso di un account attivo.

Diffusione di ransomware tramite Active Directory Group Policy

Group Policy è una funzionalità potente di Active Directory che gli amministratori utilizzano per mantenere la sicurezza e la produttività degli utenti. Gli attori del ransomware possono abusare di Group Policy per diffondere i loro payload.

Ad esempio, il ransomware Ryuk viene spesso distribuito attraverso oggetti Criteri di gruppo (GPO) che gli avversari modificano o creano. In particolare, inseriscono Ryuk nello script di accesso di Active Directory, infettando chiunque effettui l'accesso al server Active Directory.

Diffusione di ransomware tramite la condivisione SYSVOL di Active Directory

Un altro modo in cui le bande di ransomware sfruttano Active Directory è utilizzare la condivisione SYSVOL. SYSVOL memorizza i file pubblici del dominio ed è accessibile in lettura a tutti gli utenti autenticati. Una volta che gli avversari hanno diritti di accesso privilegiati, modificano SYSVOL per pianificare attività per infettare i dispositivi e monitorarli.

Ottenere accesso sfruttando una vulnerabilità di SharePoint

Gli attori del ransomware e altri avversari possono anche ottenere un punto d'appoggio in un ambiente AD sfruttando vulnerabilità non corrette. Ad esempio, nel 2019, degli hacker hanno sfruttato una vulnerabilità in Microsoft SharePoint presso le Nazioni Unite; anche se Microsoft aveva rilasciato la patch per la vulnerabilità, l'ONU non era riuscita ad aggiornare il software in modo tempestivo. Sebbene questo attacco non abbia coinvolto il rilascio di ransomware, i dati personali di quasi 4.000 membri del personale dell'ONU sono stati compromessi.

Come difendersi dagli attacchi ransomware su Active Directory

Pianificare di pagare semplicemente il riscatto non è una strategia valida contro i ransomware. Non c'è alcuna garanzia che riceverai effettivamente la chiave di decrittazione e potresti essere più soggetto a essere preso di mira nuovamente. Tuttavia, esistono strategie efficaci per ridurre il rischio di subire un'infezione da ransomware e minimizzare i danni nel caso in cui si verifichi. Ecco le migliori pratiche da adottare.

Contenuti correlati selezionati:

• [Guida Gratuita] Migliori pratiche per la sicurezza di Active Directory

Pulire account e gruppi di AD

Assicurati che ogni utente abbia solo i permessi necessari per svolgere le proprie funzioni lavorative. Rimuovi tutti gli account AD e i gruppi di sicurezza che non sono più necessari e assicurati che ogni gruppo rimanente abbia un proprietario designato (o più proprietari) che deve regolarmente rivedere i permessi e l'appartenenza del gruppo.

Minimizzare gli account privilegiati

Gli attori malevoli, inclusi i gruppi di ransomware, possono causare il maggior danno quando compromettono un account altamente privilegiato. Di conseguenza, è essenziale limitare rigorosamente l'appartenenza a tutti i gruppi privilegiati, specialmente quelli particolarmente potenti come gli Enterprise Admins, Domain Admins e Schema Admins.

Ancora meglio, adottare un moderno Privileged Access Management (PAM) che consente di sostituire gli account privilegiati permanenti con accessi giusti al momento giusto e nella misura necessaria.

Aggiornare il software prontamente

Le aziende produttrici di software rilasciano frequentemente patch per risolvere vulnerabilità nelle loro soluzioni e forniscono regolarmente versioni aggiornate che migliorano la sicurezza. Assicurati che il sistema operativo del tuo Windows Server e altri sistemi software siano sempre aggiornati con le patch e non utilizzare mai software che ha raggiunto la fine del ciclo di vita e non riceve più aggiornamenti di sicurezza.

Implementare Zero Trust e l'autenticazione multifattore (MFA)

Un modello di sicurezza Zero Trust abbinato alla MFA aiuta a contrastare gli avversari, sia quando tentano di accedere alla tua rete sia quando cercano di muoversi lateralmente ed elevare i loro permessi. La MFA rende inutili le password rubate e Zero Trust significa che anche dopo che un utente si è autenticato, attività sospette o rischiose saranno affrontate con richieste di autenticazione aggiuntive.

Investi nel rilevamento e nella risposta avanzati alle minacce

Come spiegato sopra, gli attori del ransomware trascorrono tipicamente del tempo muovendosi attraverso la rete alla ricerca di credenziali più potenti e risorse di valore. È essenziale monitorare costantemente l'ambiente per qualsiasi attività sospetta. Inoltre, la moderna tecnologia di depistaggio induce gli aggressori a rivelarsi utilizzando tecniche come le honeypot.

Istruite tutti gli utenti

Uno degli approcci più efficaci per proteggere Active Directory è educare tutti gli utenti dell'organizzazione sulle tattiche utilizzate dai malintenzionati per diffondere ransomware, come le email di phishing con link o allegati dannosi. Effettuare sessioni di formazione frequenti e valutarne l'efficacia con test come email simili al phishing.

Preparati per un evento di ransomware

Avere playbook per rispondere agli attacchi ransomware aiuterà a garantire una risposta rapida ed efficace. Alcune soluzioni possono addirittura prendere automaticamente azioni specifiche quando viene rilevata una minaccia nota. Inoltre, assicurati di eseguire il backup di Active Directory, conservare i dati al di fuori della portata del ransomware e praticare regolarmente il processo di recupero.

Mettere in sicurezza Active Directory con Netwrix Directory Manager

Implementare le migliori pratiche di sicurezza per Active Directory è un compito complesso e che richiede molto tempo. Netwrix Directory Manager è una soluzione completa di gestione delle identità e degli accessi che semplifica e automatizza questo lavoro. Ad esempio, con Netwrix Directory Manager puoi:you can:

• Mantieni automaticamente aggiornata l'appartenenza al gruppo di sicurezza di AD
• Assicurati che ogni gruppo abbia un proprietario e assegna anche più proprietari
• Consenti agli utenti di reimpostare in sicurezza le proprie password e di sbloccare i propri account
• Implementare l'autenticazione multifattore
• Implementare i requisiti di complessità delle password
• Rapporto sulla salute della directory