Attacchi ransomware di Active Directory

Organizations worldwide use Active Directory (AD) as their primary identity service, which makes it a top target for ransomware attacks. This article explains how adversaries exploit Active Directory during ransomware attacks and provides strategies and tools for defending against this modern menace.

The two phases of a ransomware attack

Un errore comune riguardo agli attacchi ransomware è che siano rapidi: qualcuno apre un allegato email infetto o inserisce un dispositivo USB infetto e, in pochi minuti, i dati in tutta la rete vengono criptati e una richiesta di riscatto viene visualizzata su ogni schermo.

La realtà è piuttosto diversa. Gli attacchi ransomware di oggi tendono ad essere molto sofisticati e metodici. Per criptare quante più informazioni sensibili possibile e quindi massimizzare le possibilità di ricevere un alto pagamento, gli aggressori procedono in due fasi:

1. Trova un punto di ingresso — Il primo passo è ottenere un punto d'appoggio nella rete dell'organizzazione vittima. Una strategia comune è compromettere le credenziali di Active Directory di un utente utilizzando tattiche come il phishing o l'indovinare la password.
2. Estendere la loro portata — Con un semplice account utente aziendale, un avversario ha accesso limitato ai sistemi critici e ai dati. Di conseguenza, cercano vulnerabilità in Active Directory che possono sfruttare per ampliare i propri diritti. Una tattica consiste nell'aggiungere l'account che già controllano a gruppi di sicurezza che dispongono di permessi più estesi; i gruppi vuoti sono un bersaglio comune perché probabilmente non vengono gestiti con attenzione e l'aggiunta di un nuovo membro potrebbe passare inosservata. Un'altra opzione è compromettere altri account utenti che dispongono già di permessi di accesso privilegiato, ad esempio ottenendo credenziali di amministratore memorizzate nella cache sull'endpoint che già controllano.

Una volta che gli avversari hanno l'accesso che desiderano, eseguono il ransomware per criptare tutti i dati a cui possono accedere, il che può includere contenuti memorizzati nel cloud. In molti casi, li copiano prima della criptazione in modo da poter minacciare di divulgarli come ulteriore leva per ottenere il pagamento. Spesso tentano anche di criptare o eliminare i dati di backup in modo che le vittime siano più propense a conformarsi alla richiesta di riscatto.

Metodi di attacco ransomware che sfruttano Active Directory

Ecco alcuni modi in cui i cybercriminali hanno sfruttato Active Directory per eseguire attacchi ransomware:

Violazione di una rete tramite un account AD disabilitato

Nell'attacco del 2021 a Colonial Pipeline, una gang conosciuta come DarkSide ha ottenuto l'accesso alla rete attraverso un account di Active Directory disabilitato. Hanno compromesso l'account utilizzando o una lista di password comuni o dump di password violate disponibili sul dark web. Gli account disabilitati sono un bersaglio facile per gli attori delle minacce perché la loro presa di controllo è meno probabile che venga notata rispetto al compromesso di un account attivo.

Diffusione di ransomware tramite Active Directory Group Policy

Group Policy è una funzionalità potente di Active Directory che gli amministratori utilizzano per mantenere la sicurezza e la produttività degli utenti. Gli attori del ransomware possono abusare di Group Policy per diffondere i loro payload.

Ad esempio, il ransomware Ryuk viene spesso distribuito tramite oggetti Criteri di gruppo (GPO) che gli avversari modificano o creano. In particolare, inseriscono Ryuk nello script del Active Directory log che infetta chiunque acceda al server di Active Directory.

Diffusione di ransomware tramite la condivisione SYSVOL di Active Directory

Un altro modo in cui le bande di ransomware sfruttano Active Directory è utilizzare la condivisione SYSVOL. SYSVOL memorizza i file pubblici del dominio ed è leggibile da tutti gli utenti autenticati. Una volta che gli avversari hanno diritti di accesso privilegiati, modificano SYSVOL per pianificare attività per infettare i dispositivi e monitorarli.

Ottenere accesso sfruttando una vulnerabilità di SharePoint

Gli attori del ransomware e altri avversari possono anche ottenere un punto d'appoggio in un ambiente AD sfruttando vulnerabilità non corrette. Ad esempio, nel 2019, gli hacker hanno sfruttato una vulnerabilità in Microsoft SharePoint alle Nazioni Unite; anche se Microsoft aveva rilasciato la patch per la vulnerabilità, l'ONU non era riuscita ad aggiornare il software in modo tempestivo. Sebbene questo attacco non abbia coinvolto il rilascio di ransomware, i dati personali di quasi 4.000 membri dello staff dell'ONU sono stati compromessi.

Come difendersi dagli attacchi ransomware su Active Directory

Pianificare di pagare semplicemente il riscatto non è una strategia valida contro i ransomware. Non c'è alcuna garanzia che riceverai effettivamente la chiave di decrittazione e potresti essere più facilmente preso di mira in futuro. Tuttavia, esistono strategie efficaci per ridurre il rischio di subire un'infezione da ransomware e minimizzare i danni nel caso in cui si verifichi. Ecco le migliori pratiche da adottare.

Pulire gli account e i gruppi di AD

Assicurati che ogni utente abbia solo i permessi necessari per svolgere le proprie funzioni lavorative. Rimuovi tutti gli account AD e i gruppi di sicurezza che non sono più necessari e assicurati che ogni gruppo rimanente abbia un proprietario designato (o più proprietari) che deve regolarmente rivedere i permessi e l'appartenenza del gruppo.

Minimizzare gli account privilegiati

Gli attori malevoli, inclusi i gruppi di ransomware, possono causare il maggior danno quando compromettono un account con privilegi elevati. Di conseguenza, è essenziale limitare rigorosamente l'appartenenza a tutti i gruppi privilegiati, specialmente quelli particolarmente potenti come gli Enterprise Admins, i Domain Admins e gli Schema Admins.

Ancora meglio, adottare un moderno Privileged Access Management (PAM) che consente di sostituire gli account privilegiati permanenti con accessi giusti al momento giusto e nella misura necessaria.

Aggiornate il software prontamente

Le aziende produttrici di software rilasciano frequentemente patch per risolvere vulnerabilità nelle loro soluzioni e forniscono regolarmente versioni aggiornate che migliorano la sicurezza. Assicurati che il sistema operativo Windows Server e altri sistemi software siano sempre aggiornati con le patch e non utilizzare mai software che ha raggiunto la fine del ciclo di vita e non riceve più aggiornamenti di sicurezza.

Implementare Zero Trust e autenticazione multifattore (MFA)

A Zero Trust security model coupled with MFA helps thwart adversaries, both when they are trying to enter your network and when they attempt to move laterally and elevate their permissions. MFA renders stolen passwords useless, and Zero Trust means that even after a user has authenticated, suspicious or risky activity will be met with additional authentication demands.

Investi nel rilevamento e nella risposta avanzati alle minacce

Come spiegato sopra, gli attori del ransomware trascorrono tipicamente del tempo muovendosi attraverso la rete alla ricerca di credenziali più potenti e risorse di valore. È essenziale monitorare costantemente l'ambiente per qualsiasi attività sospetta. Inoltre, la moderna tecnologia di depistaggio porta gli attaccanti a rivelarsi utilizzando tecniche come le honeypot.

Istruite tutti gli utenti

Uno degli approcci più efficaci per proteggere Active Directory è educare tutti gli utenti dell'organizzazione sulle tattiche utilizzate dagli avversari per diffondere ransomware, come le email di phishing con link o allegati dannosi. Effettuate sessioni di formazione frequenti e valutate la loro efficacia con test come email simili al phishing.

Preparati per un evento di ransomware

Avere playbook per rispondere agli attacchi ransomware aiuterà a garantire una risposta rapida ed efficace. Alcune soluzioni possono persino prendere automaticamente azioni specifiche quando viene rilevata una minaccia nota. Inoltre, assicurati di fare il backup di Active Directory, conservare i dati al di fuori della portata del ransomware e praticare regolarmente il processo di recupero.

Proteggere Active Directory con Netwrix Directory Manager

Implementing best practices for Active Directory security is a complex and time-consuming task. Netwrix Directory Manager is a comprehensive identity and access management solution that simplifies and automates the work. For example, with Netwrix Directory Manager, you can:

• Mantieni automaticamente aggiornata l'appartenenza ai gruppi di sicurezza di AD
• Assicurati che ogni gruppo abbia un proprietario e assegna anche più proprietari
• Consenti agli utenti di reimpostare in sicurezza le proprie password e di sbloccare i propri account
• Implementare l'autenticazione multifattore
• Implementare i requisiti di complessità della password
• Rapporto sulla salute del directory

FAQ

Il ransomware cripta Active Directory?

Sì, il ransomware può criptare i file di Active Directory.

Perché gli hacker attaccano Active Directory?

Active Directory svolge un ruolo centrale nella gestione delle identità e del loro accesso alle risorse di rete, il che lo rende un punto di ingresso molto ambito.

Cosa sono gli attacchi a Active Directory?

Gli attacchi ad Active Directory includono il compromettere le credenziali degli utenti, la manipolazione dell'appartenenza ai gruppi di sicurezza e dei permessi, e la modifica degli oggetti Group Policy.

Active Directory è vulnerabile?

Sì. Active Directory è un sistema complesso che spesso presenta account con troppi privilegi, politiche di sicurezza configurate in modo errato e altre vulnerabilità che gli avversari possono sfruttare.