Ataques de ransomware ao Active Directory

Organizations worldwide use Active Directory (AD) as their primary identity service, which makes it a top target for ransomware attacks. This article explains how adversaries exploit Active Directory during ransomware attacks and provides strategies and tools for defending against this modern menace.

As duas fases de um ataque de ransomware

Um equívoco comum sobre ataques de ransomware é que eles são rápidos: Alguém abre um anexo de e-mail infectado ou insere um dispositivo USB infectado, e em minutos os dados em toda a rede são criptografados e uma exigência de resgate é exibida em todas as telas.

A realidade é bem diferente. Os ataques de ransomware hoje tendem a ser bastante sofisticados e metódicos. Para criptografar o máximo de informações sensíveis possível e, assim, maximizar as chances de receber um alto pagamento, os atacantes procedem em duas fases:

1. Encontre um ponto de entrada — O primeiro passo é obter uma posição na rede da organização vítima. Uma estratégia comum é comprometer as credenciais do Active Directory de um usuário usando táticas como phishing ou adivinhação de senha.
2. Ampliar o alcance deles — Com apenas uma conta comum de usuário empresarial, um adversário tem acesso limitado a sistemas críticos e dados. Consequentemente, eles procuram por vulnerabilidades no Active Directory que possam explorar para expandir seus direitos. Uma tática é adicionar a conta que já controlam a grupos de segurança que possuem permissões mais extensas; grupos vazios são um alvo comum porque provavelmente não estão sendo gerenciados cuidadosamente e a adição de um novo membro pode passar despercebida. Outra opção é comprometer contas de outros usuários que já possuem permissões de acesso privilegiado, por exemplo, obtendo credenciais de administrador armazenadas no endpoint que já controlam.

Uma vez que os adversários obtêm o acesso desejado, eles executam o ransomware para criptografar todos os dados que conseguem alcançar, o que pode incluir conteúdo armazenado na nuvem. Em muitos casos, eles copiam os dados antes da criptografia para poderem ameaçar divulgá-los como uma alavanca adicional para conseguir o pagamento. Eles frequentemente também tentam criptografar ou excluir dados de backup para que as vítimas estejam mais propensas a cumprir com a exigência do resgate.

Métodos de ataque de ransomware que exploram o Active Directory

Aqui estão algumas maneiras que os cibercriminosos exploraram o Active Directory para realizar ataques de ransomware:

Violação de uma rede usando uma conta AD desativada

No ataque de 2021 à Colonial Pipeline, uma gangue conhecida como DarkSide obteve acesso à rede através de uma conta desativada do Active Directory. Eles comprometeram a conta usando ou uma lista de senhas comuns ou dumps de senhas violadas disponíveis na dark web. Contas desativadas são frutas baixas para atores de ameaças porque a tomada de controle delas é menos provável de ser notada do que o comprometimento de uma conta ativa.

Disseminação de ransomware usando a Política de Grupo do Active Directory

Group Policy é um recurso poderoso do Active Directory que os administradores usam para manter a segurança e a produtividade dos usuários. Atores de ransomware podem abusar do Group Policy para espalhar seus payloads.

Por exemplo, o ransomware Ryuk é frequentemente distribuído através de objetos de Diretiva de Grupo (GPOs) que os adversários modificam ou criam. Especificamente, eles inserem o Ryuk no log do Active Directory em script, o que infecta qualquer pessoa que faça login no servidor do Active Directory.

Disseminação de ransomware via compartilhamento SYSVOL do Active Directory

Outra forma que as gangues de ransomware exploram o Active Directory é usar o compartilhamento SYSVOL. O SYSVOL armazena arquivos públicos do domínio e é legível por todos os usuários autenticados. Uma vez que os adversários têm direitos de acesso privilegiado, eles alteram o SYSVOL para agendar tarefas para infectar dispositivos e monitorá-los.

Obtendo acesso ao explorar uma vulnerabilidade do SharePoint

Atores de ransomware e outros adversários também podem obter acesso em um ambiente AD explorando vulnerabilidades não corrigidas. Por exemplo, em 2019, hackers exploraram uma vulnerabilidade no Microsoft SharePoint nas Nações Unidas; mesmo que a Microsoft tenha lançado a correção para a vulnerabilidade, a ONU não atualizou o software de maneira oportuna. Embora este ataque não tenha envolvido o lançamento de ransomware, os dados pessoais de quase 4.000 funcionários da ONU foram comprometidos.

Como se defender de ataques de ransomware no Active Directory

Planejar apenas pagar o resgate não é uma estratégia viável contra ransomware. Não há garantia de que você realmente receberá a chave de descriptografia, e você pode ser mais propenso a ser alvo novamente. No entanto, existem estratégias eficazes para reduzir o risco de sofrer uma infecção por ransomware e minimizar os danos caso ocorra. Aqui estão as melhores práticas recomendadas.

Limpe as contas e grupos do AD

Garanta que cada usuário tenha apenas as permissões necessárias para executar suas funções de trabalho. Remova quaisquer contas AD e grupos de segurança que não sejam mais necessários e assegure que cada grupo restante tenha um proprietário designado (ou proprietários) que deve revisar regularmente as permissões e a composição do grupo.

Minimize contas privilegiadas

Atores mal-intencionados, incluindo gangues de ransomware, podem causar mais danos quando comprometem uma conta altamente privilegiada. Portanto, é essencial limitar estritamente a participação em todos os grupos privilegiados, especialmente nos mais poderosos como Enterprise Admins, Domain Admins e Schema Admins.

Ainda melhor, adote um moderno Privileged Access Management (PAM) que permite substituir contas privilegiadas permanentes por acesso pontual e na medida certa.

Atualize o software prontamente

As empresas de software lançam frequentemente correções para tratar vulnerabilidades em suas soluções e regularmente disponibilizam versões atualizadas que melhoram a segurança. Certifique-se de que o sistema operacional do seu Windows Server e outros sistemas de software estejam sempre atualizados com as correções, e nunca execute softwares que chegaram ao fim do suporte e não recebem mais atualizações de segurança.

Implemente Zero Trust e autenticação multifator (MFA)

Um modelo de segurança Zero Trust acoplado com MFA ajuda a impedir adversários, tanto quando tentam entrar na sua rede quanto quando tentam se mover lateralmente e elevar suas permissões. MFA torna senhas roubadas inúteis, e Zero Trust significa que mesmo após um usuário ter se autenticado, atividades suspeitas ou arriscadas serão encontradas com demandas adicionais de autenticação.

Invista em detecção e resposta avançadas a ameaças

Como explicado acima, os agentes de ransomware geralmente passam tempo se movendo pela rede em busca de credenciais mais poderosas e ativos valiosos. É essencial monitorar constantemente o ambiente em busca de qualquer atividade suspeita. Além disso, a tecnologia moderna de distração leva os atacantes a se revelarem usando técnicas como honeypots.

Eduque todos os usuários

Uma das abordagens mais eficazes para proteger o Active Directory é educar todos os usuários da organização sobre as táticas que os adversários usam para plantar ransomware, como e-mails de phishing com links ou anexos maliciosos. Realize sessões de treinamento frequentes e avalie a eficácia delas com testes como e-mails semelhantes aos de phishing.

Prepare-se para um evento de ransomware

Ter playbooks para responder a ataques de ransomware ajudará a garantir uma resposta rápida e eficaz. Algumas soluções podem até tomar automaticamente ações específicas quando uma ameaça conhecida é detectada. Além disso, certifique-se de fazer backup do Active Directory, armazenar os dados fora do alcance do ransomware e praticar o processo de recuperação regularmente.

Assegurando o Active Directory com Netwrix Directory Manager

Implementing best practices for Active Directory security is a complex and time-consuming task. Netwrix Directory Manager is a comprehensive identity and access management solution that simplifies and automates the work. For example, with Netwrix Directory Manager, you can:

• Mantenha a associação ao grupo de segurança do AD atualizada automaticamente
• Certifique-se de que cada grupo tenha um proprietário e até mesmo atribua vários proprietários
• Permita que os usuários redefinam suas próprias senhas e desbloqueiem suas contas de forma segura
• Implemente a autenticação multifator
• Implemente requisitos de complexidade de senha
• Relatório sobre a saúde do diretório

FAQ

O ransomware criptografa o Active Directory?

Sim, ransomware pode criptografar arquivos do Active Directory.

Por que os hackers atacam o Active Directory?

O Active Directory desempenha um papel central na gestão de identidades e no seu acesso aos recursos da rede, o que o torna um ponto de entrada lucrativo.

O que são ataques ao Active Directory?

Ataques ao Active Directory incluem comprometimento de credenciais de usuário, manipulação de membros de grupos de segurança e permissões, e alteração de objetos de Política de Grupo.

O Active Directory está vulnerável?

Sim. O Active Directory é um sistema complexo que frequentemente possui contas com privilégios excessivos, políticas de segurança mal configuradas e outras vulnerabilidades que os adversários podem explorar.