Darren Mar-Elia | Vicepresidente dei prodotti

L'ultimo attacco di ransomware-as-a-service lascia il noto rivenditore, Kmart, con interruzioni di servizio e una Active Directory compromessa.

Dopo il "ritiro" del ransomware Maze il mese scorso, molti dei suoi affiliati sono passati al nuovo arrivato, Egregor. Chiamato con un termine occulto che indica l'energia o la forza collettiva di un gruppo di individui (appropriato, visto il modello di affiliazione del ransomware), Egregor segue le orme di Maze utilizzando la crittografia, il furto di dati e l'estorsione come mezzi per garantire il pagamento del riscatto.

Secondo ilattacco presso Bleeping Computerla nota di riscatto conferma che il dominio Active Directory di Kmart è stato compromesso come parte dell'attacco. Sebbene non siano stati forniti dettagli specifici, possiamo fare alcune ipotesi basate su precedenti attacchi simili in cui Maze, Ryuke Save the Queen hanno compromesso e sfruttato Active Directory per propagare il payload del ransomware al maggior numero possibile di sistemi. Ognuno di questi ceppi ha ottenuto un accesso elevato ad Active Directory e ha apportato specifiche modifiche dannose, il che significa che da qualche parte lungo il percorso è stato compromesso almeno un account con diritti amministrativi su una parte o sulla totalità di Active Directory e che una parte di Active Directory finisce per trovarsi in un sistema controllato dall'attore della minaccia., stato insicuro.

Questo è preoccupante da alcuni punti di vista:

1. Active Directory non avrebbe dovuto essere vulnerabile- Sappiamo tutti che Active Directory è ancora oggi il principale archivio centrale di identità per una parte consistente delle organizzazioni, anche per quelle che gestiscono una strategia di identità ibrida. Il fatto che il "dominio" sia stato compromesso implica anche che Active Directory rimane un elemento chiave della rete di Kmart. Active Directory è spesso il perno degli attacchi ransomware che si diffondono rapidamente nella rete. Sfortunatamente, una volta compromessa Active Directory, è praticamente un percorso chiaro per ogni sistema connesso nell'ambiente. Poiché Active Directory è così pesantemente sfruttata e, allo stesso tempo, è la spina dorsale dell'organizzazione, richiede una protezione aggiuntiva. Come minimo, si tratta di monitorare e segnalare le modifiche. Idealmente, dovrebbe anche esserci un mezzo per proteggere le modifiche a specifici account elevati, gruppi e altri oggetti, invocando approvazioni del flusso di lavoro e/o rollback automatici.

2. Kmart è stato fortunato- Da tutti i rapporti, sembra che non tutte le operazioni di Kmart siano state interrotte. Questo probabilmente significa che Active Directory è stato compromesso ma non è stato reso indisponibile, consentendo a tutti i servizi dipendenti dal dominio di continuare a funzionare nella foresta. Ma ci sono stati casi in cui le organizzazioni non sono state così fortunate, come l'attacco di attacco NotPetya del 2018 a Maersk che ha reso letteralmente inutilizzabileogni singolo controllerdi dominio , tranne un server offline trovato in un ufficio remoto in Ghana. È negligente dare per scontato che un attacco informatico non distruggerà mai Active Directory; è fondamentale avere la capacità di ripristinarlo facilmente e, soprattutto, rapidamente.

3. Riportare Active Directory a uno stato di sicurezza noto probabilmente non è stato facile- In molte organizzazioni, le modifiche dannose ad Active Directory passano forse inosservate.inosservatema di certo sono consentite per un periodo sufficientemente lungo da far sentire l'impatto dannoso. Se non si sa cosa è stato modificato in Active Directory, come si può sapere cosa deve essere ripristinato o ripristinato per rimediare alle modifiche dannose? Sono stati creati nuovi account utente fasulli? Modifiche all'appartenenza al gruppo Domain Admins? Che ne dite di modifiche ai Criteri di gruppo per concedere i diritti di "agire come sistema operativo" ai controller di dominio o a tutte le workstation? L'elenco continua. In breve, senza proteggere Active Directory, non è possibile correggere facilmente le modifiche apportate, richiedendo un'attività di ripristino che probabilmente non sarà così semplice come "ripristinare il dominio a ieri a mezzogiorno".

Egregor è un giocatore relativamente nuovo sulla scenae ci aspettiamo di vedere il suo nome in altri titoli nei mesi a venire. Sapete già che se Active Directory cade, può cadere anche il resto della vostra rete. Pertanto, l'ultimo attacco ransomware di Egregor a Kmart dovrebbe ricordarvi che Active Directory richiede un'attenzione particolare nell'ambito della vostra strategia di sicurezza informatica. Proteggetela con forza, tenendo fuori gli attori delle minacce. In secondo luogo, considerate che anche se avete messo in atto una strategia di difesa in profondità solo per Active Directory, un giorno ci sarà comunque un attacco chesupererà le difese, richiedendoche supererà le difese, richiedendo di essere in grado di ripristinare Active Directory allo stato precedente all'attacco, che si tratti di una singola modifica, dell'intera foresta o di una via di mezzo.