Thomas Leduc

Como nunca antes, Active Directory (AD) está siendo ataqueatacantes. En este blog, examinaremos cómo los ataques de ransomware están abusando de AD y cómo las empresas pueden evolucionar sus estrategias defensivas para adelantarse a los atacantes. las empresas pueden evolucionar sus estrategias defensivas para adelantarse a los atacantes.

En primer lugar, una nota rápida sobre la reciente vulnerabilidad de escalada de privilegios denominada Zerologonque permite a un atacante no autenticado con acceso de red a un controlador de dominio comprometer completamente los servicios de identidad de Active Directory. Calificada con un 10 sobre 10 en cuanto a gravedad por el Common Vulnerability Scoring System (CVSS), Zerologon ha suscitado serias preocupaciones sobre la seguridad de AD. Y yo digo que ya era hora. Zerologon no es más que la última de las muchas nuevas amenazas dirigidas a AD. Ya es hora de reexaminar la seguridad de su AD.

Ataques de ransomware que aprovechan Active Directory

El negocio del ransomware está en auge.

En el último año, los ataques selectivos de ransomware contra organismos públicos, centros educativos y proveedores de asistencia sanitaria han puesto en juego la protección de las organizaciones. Los ataques de ransomware no solo perjudican a las empresas, sino que también ponen en peligro la salud, la seguridad y la vida de las personas. Además, las víctimas que faciliten las negociaciones con los extorsionadores podrían enfrentarse a elevadas multas del gobierno federal estadounidense.

En un pasado no muy lejano, el ransomware era principalmente una amenaza para los consumidores. Pero hoy en día, las amenazas de ransomware lanzan campañas sofisticadas que recuerdan a los ataques de tipo APT, en los que los objetivos de persistencia, robo de datos y extorsión coexisten con los esfuerzos por cifrar archivos.

En lugar de los ataques indiscriminados y automatizados asociados históricamente con el ransomware, los atacantes modernos llevan a cabo campañas de ransomware operadas por humanos que utilizan herramientas como BloodHound, Mimikatz y PowerSploit para recopilar información útil sobre el entorno de Active Directory, realizar reconocimientos, robar credenciales y profundizar en la red.

Tomemos, por ejemplo, el ransomware Ryuk, que la comunidad de seguridad ha vinculado a múltiples campañas de ataque en el último año. En muchos de estos ataques dirigidos, Ryuk era la carga útil final, pero el ataque comenzaba con TrickBot o Emotet. Estas piezas de malware descargaban a su vez herramientas como Cobalt Strike y PowerShell Empire. A continuación, los actores de la amenaza comenzaban a realizar tareas de reconocimiento y robo de credenciales, utilizando el componente de BloodHound llamado SharpHound para recopilar información sobre el entorno de Active Directory y trazar posibles rutas de ataque. Ryuk es un ataque con un giro inquietante para AD: el ransomware se envía a usuarios desprevenidos a través de objetos de directiva de grupo (GPO) de AD. En un incidente, del que informó la publicación de seguridad Dark Reading, los atacantes piratearon servidores AD utilizando el protocolo de escritorio remoto (RDP) e insertaron Ryuk en el script de inicio de sesión AD, infectando a todos los que iniciaron sesión en ese servidor AD.

Por desgracia, este tipo de abuso de Active Directory no es exclusivo de Ryuk. Los actores maliciosos que utilizan el ransomware Maze siguen un patrón similar, desplegando el ransomware después del ataque y perpetrando el robo de datos. Recientemente, el ransomware se vinculó a un ataque contra el sistema de escuelas públicas del condado de Fairfax, en Virginia. En un análisis de Maze de mayo de 2020, los investigadores de FireEye señalaron que los correos electrónicos maliciosos y RDP se observaron entre los métodos iniciales de compromiso, y los atacantes trataron de obtener acceso a múltiples cuentas de dominio y del sistema local. Para escalar privilegios e identificar rutas de ataque, los atacantes aprovecharon con frecuencia las herramientas de hacking de código abierto mencionadas anteriormente para irrumpir en Active Directory. Tras la exfiltración de datos, el ransomware se desplegó de varias formas, incluido un incidente en el que el atacante utilizó una cuenta de administrador de dominio para iniciar sesión e infectar varios sistemas.

En otro ejemplo de cómo Active Directory se está convirtiendo en objetivo, los investigadores de seguridad destacaron recientemente una cepa de ransomware apodada SaveTheQueen que se ha observado utilizando el recurso compartido SYSVOL en los controladores de dominio AD para propagarse por todo el entorno. Para acceder al recurso compartido SYSVOL, que se utiliza para proporcionar secuencias de comandos de inicio de sesión y directivas a los miembros del dominio, normalmente se necesitan privilegios elevados, lo que indica un compromiso grave de AD.

Mitigación de riesgos para Active Directory

El elevado riesgo que el ransomware supone para Active Directory significa que las organizaciones deben centrarse más en la seguridad y recuperación de AD. Una vez comprometido, Zerologon es exactamente el tipo de vulnerabilidad que los atacantes podrían utilizar para comprometer AD y aprovecharlo para propagar malware. El paso inmediato es reducir la superficie de ataque. Implantar una segmentación eficaz de la red, una administración por niveles y el principio del mínimo privilegio para restringir el acceso dificulta la tarea de los intrusos. Adoptando las mejores prácticas y corrigiendo los sistemas sin parches, las empresas pueden poner fuera del alcance de los atacantes lo que de otro modo sería fruta fácil de recoger.

Examinando los ataques anteriores, hay algunas medidas adicionales que las organizaciones pueden tomar. El cambio en las tácticas de los operadores de ransomware es un recordatorio de la importancia de la defensa en profundidad. Las funciones antimalware en los terminales siguen siendo vitales para detener las infecciones. Además, la presencia no autorizada de herramientas de pen-testing legítimas como BloodHound debería alertar de que algo va mal, al igual que un número considerable de intentos fallidos de inicio de sesión en Remote Desktop.

Reforzar las defensas también significa dificultar el abuso de Active Directory, lo que requiere supervisar AD para detectar cambios no autorizados. En Semperis, nuestras soluciones proporcionan supervisión continua y evaluación de vulnerabilidades para AD, así como la capacidad de revertir cualquier cambio no autorizado sin la participación del administrador. Por ejemplo, si se añade sospechosamente un usuario a un grupo privilegiado, este cambio se detectará y se deshará automáticamente para evitar posibles daños. Este tipo de supervisión continua debe extenderse a los registros de eventos, ya que muchos atacantes borrarán el registro de eventos de seguridad para eliminar los rastros de su actividad.

Desde el punto de vista de la recuperación de Active Directory, las organizaciones necesitan ajustar sus planes de respuesta para incluir preparativos para ataques de ransomware. En ese escenario, cualquier sistema conectado a la red puede verse afectado. Para prepararse, las copias de seguridad deben guardarse en un servidor no unido al dominio y fuera de las instalaciones. Sorprendentemente, muchas organizaciones ni siquiera han probado sus planes de recuperación ante ciberdesastres de AD. De hecho, según nuestra encuesta de 2020 a líderes de seguridad centrada en la identidad, el 21% de los encuestados afirmó no tener ningún plan. Este descubrimiento es alarmante dado el aumento de los ataques de ransomware de rápido movimiento y el impacto generalizado de una interrupción de AD. Una mala preparación aumentará el tiempo de inactividad y los costes asociados a un ataque de ransomware.

Es imposible detener todos los ataques, especialmente a medida que las fuerzas de trabajo remotas amplían rápidamente la superficie de ataque. Pero puede controlar su capacidad de recuperación. Su negocio depende de ello.