O FBI publicou o alerta FBI Flash CU-000167-MW, segundo o qual o grupo BlackCat/ALPHV ransomware-as-a-service (RaaS) comprometeu pelo menos 60 entidades a nível mundial. Tal como acontece com a maioria dos ciberataques, o objectivo final do BlackCat/ALPHV é um ataque ao Active Directory.
No topo da lista de medidas de mitigação recomendadas pelo FBI está a revisão do ambiente do Active Directory para detectar contas de utilizador não reconhecidas e outros indicadores de comprometimento. A auditoria e o reforço das permissões e a implementação de um plano de recuperação do Active Directory também são passos vitais na lista.
Sua organização tem uma proteção robusta para cobrir todos os três estágios do ciclo de ataque do Active Directory - antes, durante e depois de um ataque cibernético? Um excelente ponto de partida: Faça o download e execute a ferramenta gratuita de avaliação de segurança do Active Directory Purple Knight para descobrir falhas de segurança e priorizar ações corretivas. Também reunimos uma lista rápida de recursos para obter mais informações sobre algumas das explorações comuns a esse tipo de ataque cibernético e as etapas que você pode seguir para fortalecer sua postura de segurança de identidade.
Leitura relacionada
Descubra as vulnerabilidades do Active Directory
Encontrar e corrigir vulnerabilidades do Active Directory é um desafio devido às complexidades dos ambientes legados, ao grande número de configurações e ao cenário de ameaças em expansão. Confira esses recursos de nossos especialistas em segurança de identidade para começar a fechar as lacunas de segurança do AD:
- Saiba mais sobre movimento lateral e escalonamento de falhas de autenticação e permissões em Conhece as vulnerabilidades de segurança do seu Active Directory?
- Descubra como os atacantes exploram a Política de Grupo, como monitorar o Active Directory em busca de alterações maliciosas e como desenvolver um plano de recuperação proativo em Como se defender contra ataques ao Active Directory que não deixam rastros.
- Leia sobre o comportamento do RaaS conforme implementado pela Darkside, uma versão anterior suspeita de alguns dos intervenientes maliciosos por detrás dos ataques BlackCat, em Como se defender contra grupos de ransomware como serviço que atacam o Active Directory.
- Saiba como detectar uma configuração de servidor perigosa que pode abrir o Active Directory a ataques em Delegação sem restrições no Active Directory deixa lacunas de segurança.
- Veja como os atacantes usam as DACLs (Discretionary Access Control Lists) para ocultar a associação e evitar a detecção em How Attackers Can Use Active Directory Primary Group Membership for Defense Evasion.
Desenvolver um plano de recuperação eficaz e abrangente do Active Directory
Proteger proactivamente o AD contra ataques é o primeiro passo para melhorar a postura de segurança. Mas também é necessário um plano de recuperação do AD testado que possa ser implementado em caso de ataque. De acordo com a Enterprise Management Associates, 50% das organizações sofreram um ataque ao AD nos últimos 1 a 2 anos, e mais de 40% desses ataques foram bem sucedidos. Reforce os seus planos de recuperação de desastres do AD com estas directrizes:
- Obtenha sugestões importantes de recuperação no artigo O que fazer e o que não fazer na recuperação do AD.
- Encontre maneiras de minimizar a superfície de ataque do Active Directory, desenvolver um plano de recuperação eficaz, monitorar sinais de comprometimento e reverter alterações não autorizadas em Sua estratégia de confiança zero depende da integridade do Active Directory.
- Pretende obter detalhes mais aprofundados para avaliar o seu plano de recuperação do AD? Descarregue o documento O seu plano de recuperação de desastres do Active Directory cobre ciberataques?
Proteger as chaves do vosso reino
Com o aumento do ransomware e de outros ataques informáticos, a protecção do Active Directory e do Azure AD é mais importante do que nunca. Precisa de ajudar os decisores a compreender o valor da segurança específica do Active Directory? O ROI Prático de uma Recuperação Rápida do Active Directory analisa o quanto está em jogo. Resumindo, a menos que tenha soluções específicas implementadas para lidar com o Active Directory e o Azure AD antes, durante e depois de um ataque, toda a sua organização continua em risco.
Mais recursos
