El último ataque de ransomware-as-a-service deja al conocido minorista, Kmart, con cortes de servicio y un Active Directory comprometido.
Tras la "retirada" del ransomware Maze el mes pasado, muchos de sus afiliados se han pasado al nuevo ransomware, Egregor. Egregor, que recibe su nombre de un término oculto que significa la energía o fuerza colectiva de un grupo de individuos (apropiado, dado el modelo de afiliación del ransomware), sigue los pasos de Maze utilizando tanto el cifrado como el robo de datos y la extorsión como medios para garantizar el pago del rescate.
Según elinforme del ataque en Bleeping Computerla nota de rescate verifica que el dominio Active Directory de Kmart fue comprometido como parte del ataque. Aunque no se han proporcionado detalles específicos, podemos hacer algunas conjeturas basadas en ataques similares anteriores en los que Maze, Ryuky Save the Queen comprometieron y aprovecharon Active Directory para propagar la carga útil del ransomware a tantos sistemas como fuera posible. Cada una de estas cepas obtuvo acceso elevado a Active Directory e hizo cambios maliciosos específicos, lo que significa que en algún punto del camino, al menos una cuenta con derechos administrativos sobre parte o la totalidad de Active Directory se ha visto comprometida, y alguna parte de Active Directory termina estando bajo el control de un actor de amenaza., inseguro.
Esto es preocupante desde varios puntos de vista:
1. Active Directory no debería haber sido vulnerable- Todos sabemos que Active Directory sigue siendo el principal almacén central de identidades para una parte importante de las organizaciones de hoy en día, incluso para aquellas que aplican una estrategia de identidad híbrida. Dado el detalle de que el "dominio" fue comprometido también implica que Active Directory sigue siendo un elemento clave de la red de Kmart. Active Directory suele ser el eje de los ataques de ransomware que se propagan rápidamente por la red. Por desgracia, una vez que Active Directory se ve comprometido, es prácticamente un camino despejado a todos los sistemas conectados en el entorno. Dado que Active Directory está tan fuertemente explotado y, al mismo tiempo, es la columna vertebral de la organización, requiere una protección adicional. Como mínimo, se trata de supervisar los cambios y alertar de ellos. Idealmente, también debería haber un medio por el cual los cambios a cuentas elevadas específicas, grupos y otros objetos estén protegidos, invocando aprobaciones de flujo de trabajo y/o reversiones automatizadas.
2. Kmart tuvo suerte- De todos los informes, parece que no todas las operaciones de Kmart se cayeron. Esto probablemente significa que Active Directory estaba comprometido pero no no disponible, permitiendo que todos los servicios dependientes del dominio en todo el bosque siguieran funcionando. Pero ha habido casos en los que las organizaciones no tuvieron tanta suerte, como el NotPetya en 2018 en Maersk que dejó literalmente todos los controladores de dominio inoperables, excepto un servidor fuera de línea que encontraron en una oficina remota en Ghana. Es negligente asumir que un ciberataque nunca derribará Active Directory; tener la capacidad de recuperarlo fácilmente -y lo que es más importante, rápidamente- es fundamental.
3. Devolver Active Directory a un estado de seguridad conocido probablemente no fue fácil- En muchas organizaciones, los cambios maliciosos en Active Directory quizás no pasendesapercibidospero ciertamente son permitidos por un tiempo suficiente para que el impacto malicioso se sienta. Si no sabes lo que se modificó en Active Directory, ¿cómo puedes saber lo que necesita ser restaurado o revertido para remediar cualquier cambio malicioso? ¿Se crearon nuevas cuentas de usuario falsas? ¿Cambios en la pertenencia al grupo de administradores de dominio? ¿Qué hay de las modificaciones a las Políticas de Grupo para otorgar derechos de "Actuar como el Sistema Operativo" a los controladores de dominio o a cada estación de trabajo? La lista es interminable. En resumen, si no protege Active Directory, no podrá rectificar fácilmente los cambios realizados, lo que requerirá un esfuerzo de recuperación que probablemente no será tan sencillo como "recuperar el dominio a ayer a mediodía".
Egregor es un actor relativamente nuevo en la escenay esperamos ver su nombre en más titulares en los próximos meses. Usted ya sabe que si Active Directory cae, también puede caer el resto de su red. Por lo tanto, el último ataque de ransomware de Egregor a Kmart debería ser un recordatorio de que Active Directory requiere una atención especial dentro de su estrategia de ciberseguridad. Protéjalo ferozmente, manteniendo alejados a los actores de amenazas. En segundo lugar, asuma que aunque ponga en marcha una estrategia de defensa en profundidad sólo para Active Directory, algún día se producirá un ataque queseque traspase las defensas, requiriendo que seas capaz de recuperar Active Directory a su estado pre-ataque - ya sea una sola modificación, todo el bosque, o algo intermedio.