Michael Choo

El 9 de febrero de 2025, el ransomware Crazy Hunter atacó el Hospital Mackay Memorial de Taipei (Taiwán). A los pocos días, un segundo ataque afectó al cercano Hospital Changhua Christian.1 Los atacantes consiguieron acceder a los entornos Active Directory (AD) de los hospitales y, una vez dentro, fueron capaces de desactivar los mecanismos de seguridad, escalar privilegios y ejecutar código malicioso para bloquear los sistemas, al tiempo que cifraron y robaron millones de historiales médicos.

Estos incidentes forman parte de un aumento global de los ciberataques contra los sistemas sanitarios, donde los atacantes confían en el hecho de que restablecer los servicios médicos es una cuestión de vida o muerte. Y saben cómo explotar los complejos entornos de identidad híbridos de los que dependen las organizaciones sanitarias, obteniendo acceso a AD.

Por qué la seguridad de Active Directory es esencial para las organizaciones sanitarias

Los ataques a organizaciones sanitarias ofrecen a los ciberdelincuentes la oportunidad de enriquecerse a varios niveles. Por un lado, los atacantes exigen enormes rescates. En el backend, los historiales médicos robados proporcionan un tesoro de datos personales, listos para ser explotados.

Como Semperis reveló en nuestro Informe sobre el riesgo de ransomware en 2024los ataques iniciales a organizaciones sanitarias tienen un enorme éxito, creando un caos inmediato y una necesidad urgente de restablecer la atención a los pacientes. Pero la amenaza no termina con el primer ataque. De las organizaciones sanitarias que declararon haber sido atacadas, el 35% afirmó haber sufrido varios ataques simultáneamente. E incluso cuando pagaron el rescate -a menudo varias veces-, el 40% sufrió pérdidas de datos.

El principal objetivo de los actores maliciosos que buscan entrar en los sistemas sanitarios, así como en otros sectores muy específicos como el financiero y el manufacturero, es AD. Como servicio de identidad principal, AD es la fuente de acceso a sistemas heredados, arquitecturas híbridas complejas y una miríada de dispositivos conectados.

Esto significa que la seguridad AD es de vital importancia a todos los niveles para cualquier industria crítica.

Cómo aprovechan los atacantes las vulnerabilidades de seguridad de AD

Aunque se está investigando el origen inicial de la intrusión en los hospitales de Taiwán, las autoridades saben que los atacantes se dirigieron específicamente a los entornos AD de los hospitales. En su Informe Técnico de Ciberseguridad 2024 (CTR) Detección y mitigación de compromisos de Active Directoryla alianza de los Cinco Ojos publicó orientaciones para abordar las vulnerabilidades de seguridad de AD, señalando que un reto clave en la protección de AD es que cada usuario tiene permisos que permiten a un atacante identificar y explotar los puntos débiles.

Existen múltiples formas de que los actores malintencionados accedan a AD:

  • Comprometer a un usuario AD mediante ingeniería social o phishing
  • Utilizar una puerta de enlace de escritorio remoto (RD Gateway) expuesta y mal configurada y credenciales robadas para obtener acceso RDP directo a sistemas internos.
  • Utilizar credenciales comprometidas para autenticarse a través de soluciones VPN que no aplican la autenticación multifactor (MFA), dando a los atacantes un punto de apoyo dentro de la red.
  • Utilizar credenciales válidas o vulnerabilidades explotadas para aprovechar entornos Citrix/VDI orientados a Internet y protegidos de forma incorrecta o inadecuada.
  • Explotar vulnerabilidades o controles de autenticación deficientes en portales autoalojados (por ejemplo, sistemas de recursos humanos, herramientas de asistencia).
  • Emplear el rociado de contraseñas contra puntos de autenticación accesibles desde el exterior, como OWA, VPN o portales SSO.

Una vez que AD es violado, los atacantes pueden utilizar ese acceso para:

  • Explotar contraseñas débiles mediante ataques de fuerza bruta, como las técnicas de pulverización de contraseñas.
  • Lanzar un ataque AS-REP Roasting , si el hospital cuenta con sistemas y aplicaciones heredados que no admiten la preautenticación Kerberos.
  • Utilizar credenciales privilegiadas para modificar los objetos de directiva de grupo (GPO) de AD para propagar el ransomware.
  • Acceder a cuentas de servicio heredadas, que son comunes y a menudo muy privilegiadas en entornos hospitalarios y pueden conducir a una escalada de privilegios; por ejemplo, solicitar un ticket de servicio para una cuenta de administrador de dominio heredada que tenga un nombre principal de servicio (SPN) y realizar Kerberoasting para intentar recuperar la contraseña en texto plano de la cuenta, lo que conduce inmediatamente a privilegios de administrador de dominio.

Cómo CrazyHunter navegó por AD desde dentro

El Mackay Memorial detectó por primera vez una anomalía en el sistema el 9 de febrero. El hospital informó inmediatamente del problema al Centro de Análisis e Intercambio de Información sobre Seguridad de la Información (H-ISAC) del Ministerio de Sanidad y Bienestar de Taiwán, que desplegó un equipo de respuesta rápida para acelerar la recuperación.

Pero los daños aumentaron rápidamente. Más de 500 ordenadores del hospital se bloquearon, los historiales de los pacientes y los sistemas críticos se cifraron y los servicios de urgencias se paralizaron. Los servicios médicos se restablecieron en un día, pero los datos personales de más de 16,6 millones de pacientes fueron robados y vendidos por los atacantes, Hunter Ransom Group.2

El ransomware CrazyHunter siguió una trayectoria que podría utilizarse para explotar las vulnerabilidades de seguridad de AD en cualquier organización.

Escalada de privilegios y movimiento lateral a GPOs

Una vez dentro de las cuentas AD comprometidas, los atacantes elevaron sus privilegios dentro de AD, probablemente explotando configuraciones erróneas o permisos débiles.

A continuación, los atacantes utilizaron objetos de directiva de grupo (GPO ) para distribuir ejecutables maliciosos diseñados para el cifrado, la manipulación de procesos y la evasión de la seguridad. Dado que permiten amplios controles en AD, los GPO suelen utilizarse en ataques de ransomware para ejecutar cargas útiles en varios sistemas simultáneamente.

Evasión de la defensa: Traiga su propio ataque conductor vulnerable

Los ataques BYOVD aprovechan los controladores firmados pero vulnerables para escalar privilegios y ejecutar código en el modo kernel. En este caso, los atacantes desplegaron el controlador vulnerable zam64.sys de Zemana, el controlador de firma legítima de la herramienta de protección contra malware ZAM. En los ataques BYOVD típicos, el controlador se explota para lanzar ataques de escalada de privilegios y desactivar mecanismos de seguridad como la protección de puntos finales o las soluciones de detección y respuesta de puntos finales (EDR).

Cómo mejorar la resistencia operativa de los servicios críticos

Como explica el CTR de Five Eyes, una vez que los atacantes se han infiltrado en AD, se aprovechan de la complejidad de las relaciones entre usuarios y sistemas. Estas interconexiones, a menudo ocultas, facilitan a los malos actores disfrazar las acciones maliciosas como cambios "normales" en AD, lo que les da vía libre dentro del sistema de identidad.

Para garantizar la resistencia operativa, las organizaciones deben emplear soluciones de seguridad de AD especializadas para abordar las vulnerabilidades de seguridad de AD, detectar comportamientos anómalos que puedan indicar un ataque inminente y permitir una recuperación rápida cuando inevitablemente se produzca un ataque.

1. Implantar la detección y respuesta ante amenazas a la identidad (ITDR)

Semperis Directory Services Protector (DSP) proporciona supervisión continua y permite acciones proactivas para reducir la superficie de ataque incluso de los entornos AD más grandes y complejos. DSP puede:

  • Identifique cualquier configuración AD sospechosa, incluidos los permisos GPO dudosos.
  • Identificar todas las cuentas de servicio con cifrado débil
  • Visibilidad de las cuentas de servicio que podrían utilizarse para iniciar sesión de forma interactiva (un claro indicio de compromiso).
  • Identificar todas las cuentas que todavía son susceptibles de AS-REP Roasting para permitir la remediación de esas cuentas si es posible, o una estrecha vigilancia, si la remediación no es posible.

2. Detectar y mitigar las amenazas

Además de remediar proactivamente las vulnerabilidades de seguridad de AD, las organizaciones deben implementar una solución automatizada de detección de ataques en tiempo real, como Semperis Lightning Identity Runtime Protection (IRP). Mediante el uso de algoritmos de IA específicamente entrenados con experiencias de ataques a la identidad en el mundo real, esta solución permite a los defensores de la seguridad reducir el ruido de la supervisión y centrarse en las alertas críticas que pueden indicar un ataque inminente. Lightning IRP puede:

  • Identificar el intento de los actores de amenazas de robar tickets de servicio con un cifrado débil.
  • Identificar actividades de inicio de sesión anómalas de cuentas comprometidas
  • Detectar patrones que indiquen la presencia de ataques de rociado de contraseñas y de fuerza bruta.

3. Garantizar la resistencia con una recuperación rápida de la AD

En el caso de un ataque devastador o una brecha conocida, la capacidad de recuperar AD rápidamente y a un estado de confianza es esencial para permitir a las organizaciones negarse a pagar el rescate y reducir los costosos impactos.

Una solución de recuperación como Active Directory Forest Recovery (ADFR) de Semperis-que puede recuperar AD sin correr el riesgo de reinfección por malware y ataques posteriores- es esencial cuando se ha detectado una brecha grave y la limpieza manual se considera demasiado arriesgada. ADFR puede:

  • Garantizar que el entorno de AD recuperado está libre de malware y ransomware.
  • Automatice la recuperación de los bosques de AD para evitar errores humanos y permitir el restablecimiento de las operaciones empresariales en cuestión de minutos u horas.
  • Acelerar el análisis forense posterior al ataque para identificar las cuentas comprometidas y prevenir futuros ataques.

Instantánea de Semperis

Los ciberataques contra el Mackay Memorial Hospital y el Changhua Christian Hospital son un claro recordatorio de que, con grandes recompensas y barreras de entrada que pueden sortearse con un simple correo electrónico de phishing, los actores maliciosos tienen a las organizaciones sanitarias en su punto de mira. Es esencial estar preparado para la inevitabilidad de un ciberataque.

Combatir las amenazas cambiantes en este panorama requiere un plan de resiliencia de identidad detallado y probado que coordine una defensa de seguridad de AD en capas a través de personas, procesos y tecnología. Para las organizaciones sanitarias, con sus sistemas complejos y cambiantes y sus arquitecturas híbridas, los retos de esta coordinación son considerables.

Pero los riesgos de la inacción son mucho mayores.

Más información sobre la seguridad de Active Directory

Notas finales

  1. https://www.ithome.com.tw/news/167327
  2. https://databreaches.net/2025/03/07/taipeis-mackay-memorial-hospital-patient-information-allegedly-sold-online/