Em 9 de fevereiro de 2025, o Mackay Memorial Hospital em Taipei, Taiwan, foi atingido pelo ransomware Crazy Hunter. Em poucos dias, um segundo ataque atingiu o vizinho Changhua Christian Hospital.1 Os atacantes obtiveram acesso aos ambientes Active Diretory (AD) dos hospitais e, uma vez lá dentro, conseguiram desativar mecanismos de segurança, aumentar privilégios e executar código malicioso para bloquear sistemas, ao mesmo tempo que encriptaram e roubaram milhões de registos médicos.
Estes incidentes fazem parte de um aumento global de ciberataques contra sistemas de cuidados de saúde, em que os atacantes confiam no facto de o restabelecimento dos serviços médicos ser uma questão de vida ou de morte. E eles sabem como explorar os ambientes de identidade híbridos e complexos dos quais as organizações de saúde dependem, obtendo acesso ao AD.
Porque é que a segurança do Active Diretory é essencial para as organizações de cuidados de saúde
Os ataques a organizações de cuidados de saúde oferecem aos cibercriminosos a oportunidade de enriquecimento a vários níveis. No front-end, os atacantes extorquem enormes resgates. No backend, os registos médicos roubados constituem um tesouro de dados pessoais, prontos a serem explorados.
Tal como a Semperis revelou no nosso Relatório de risco de ransomware 2024os ataques iniciais às organizações de saúde são extremamente bem-sucedidos, criando um caos imediato e uma necessidade urgente de restaurar os cuidados aos pacientes. Mas a ameaça não termina com o primeiro ataque. Das organizações de saúde que relataram ter sido atacadas, 35% relataram ter sofrido vários ataques simultaneamente. E mesmo quando pagaram o resgate - muitas vezes várias vezes - 40% ainda sofreram perda de dados.
O principal alvo dos agentes maliciosos que procuram entrar nos sistemas de saúde - bem como noutros sectores altamente visados, como o financeiro e o industrial - é o AD. Enquanto serviço de identidade central, o AD é a fonte de acesso a sistemas antigos, arquitecturas híbridas complexas e uma miríade de dispositivos ligados.
Isto significa que a segurança AD é de extrema importância a todos os níveis para qualquer indústria crítica.
Como os atacantes exploram as vulnerabilidades de segurança do AD
Embora esteja a decorrer uma investigação sobre a fonte inicial de intrusão nos hospitais de Taiwan, as autoridades sabem que os atacantes visaram especificamente os ambientes AD dos hospitais. No seu Relatório Técnico de Cibersegurança (CTR) de 2024 Detetar e mitigar os compromissos do Active Diretorya aliança Five Eyes emitiu orientações sobre como lidar com as vulnerabilidades de segurança do AD, referindo que um dos principais desafios na segurança do AD é o facto de cada utilizador ter permissões que permitem a um atacante identificar e explorar pontos fracos.
Existem várias formas de os maus actores obterem acesso ao AD:
- Comprometer um utilizador do AD através de engenharia social ou phishing
- Utilizar um Remote Desktop Gateway (RD Gateway) exposto e mal configurado e credenciais roubadas para obter acesso RDP direto a sistemas internos
- Utilizar credenciais comprometidas para autenticar através de soluções VPN que não aplicam a autenticação multifactor (MFA), dando aos atacantes um ponto de apoio dentro da rede
- Utilizar credenciais válidas ou vulnerabilidades exploradas para tirar partido de ambientes Citrix/VDI virados para a Internet e indevidamente ou inadequadamente protegidos
- Explorar vulnerabilidades ou controlos de autenticação deficientes em portais auto-hospedados (por exemplo, sistemas de RH, ferramentas de apoio)
- Empregar a pulverização de palavras-passe contra pontos de autenticação acessíveis externamente, como OWA, VPN ou portais SSO
Quando o AD é violado, os atacantes podem utilizar esse acesso para:
- Explorar palavras-passe fracas através de ataques de força bruta, tais como técnicas de pulverização de palavras-passe
- Lançar um ataque AS-REP Roasting , se o hospital tiver sistemas e aplicações antigos que não suportem a pré-autenticação Kerberos
- Utilizar credenciais privilegiadas para modificar os Objectos de Política de Grupo (GPOs) do AD para propagar ransomware
- Aceder a contas de serviço antigas, que são comuns e muitas vezes altamente privilegiadas em ambientes hospitalares e que podem conduzir a uma escalada de privilégios; por exemplo, solicitar um bilhete de serviço para uma conta de Administrador de Domínio antiga que tenha um nome de Entidade Responsável pelo Serviço (SPN) definido e executar o Kerberoasting para tentar recuperar a palavra-passe em texto simples da conta, o que conduz imediatamente a privilégios de Administrador de Domínio
Como é que o CrazyHunter navegou no AD a partir do interior
O Mackay Memorial detectou pela primeira vez uma anomalia no sistema a 9 de fevereiro. O hospital comunicou imediatamente o problema ao Centro de Análise e Partilha de Informações sobre Segurança da Informação (H-ISAC) do Ministério da Saúde e do Bem-Estar de Taiwan, que enviou uma equipa de resposta rápida para acelerar a recuperação.
Mas os danos agravaram-se rapidamente. Mais de 500 computadores do hospital foram bloqueados, os registos dos doentes e os sistemas críticos foram encriptados e os serviços de urgência foram interrompidos. Os serviços médicos foram restabelecidos num dia, mas os dados pessoais de mais de 16,6 milhões de pacientes foram roubados e vendidos pelos atacantes, o Hunter Ransom Group.2
O ransomware CrazyHunter seguiu uma trajetória que pode ser utilizada para explorar as vulnerabilidades de segurança do AD em qualquer organização.
Aumento de privilégios e movimento lateral para GPOs
Uma vez dentro das contas AD comprometidas, os atacantes elevaram os seus privilégios no AD, provavelmente explorando configurações incorrectas ou permissões fracas.
Em seguida, os atacantes utilizaram Objectos de Política de Grupo (GPOs) para distribuir executáveis maliciosos concebidos para encriptação, manipulação de processos e evasão à segurança. Uma vez que permitem amplos controlos no AD, os GPOs são normalmente utilizados de forma abusiva em ataques de ransomware para executar cargas úteis em vários sistemas simultaneamente.
Evasão da defesa: Ataque "Traga o seu próprio condutor vulnerável
Os ataques BYOVD aproveitam os controladores assinados mas vulneráveis para aumentar os privilégios e executar código no modo kernel. Neste caso, os atacantes implantaram o vulnerável controlador Zemana zam64.sys - o controlador com assinatura legítima da ferramenta de proteção contra malware ZAM. Nos ataques BYOVD típicos, o controlador é explorado para lançar ataques de escalada de privilégios e desativar mecanismos de segurança como a proteção de pontos finais ou soluções de deteção e resposta de pontos finais (EDR).
Como melhorar a resiliência operacional dos serviços críticos
Como explica o Five Eyes CTR, quando os atacantes se infiltram no AD, tiram partido da complexidade das relações entre utilizadores e sistemas. Estas interconexões, muitas vezes ocultas, facilitam a dissimulação de acções maliciosas como alterações "normais" do AD, dando-lhes livre curso dentro do sistema de identidade.
Para garantir a resiliência operacional, as organizações têm de utilizar soluções especializadas de segurança do AD para resolver as vulnerabilidades de segurança do AD, detetar comportamentos anómalos que possam indicar um ataque iminente e permitir uma recuperação rápida quando um ataque acontece inevitavelmente.
1. Implementar a deteção e resposta a ameaças à identidade (ITDR)
O Semperis Directory Services Protector (DSP) fornece monitoramento contínuo e permite ações proativas para reduzir a superfície de ataque até mesmo dos maiores e mais complexos ambientes AD. DSP pode:
- Identificar quaisquer configurações suspeitas do AD, incluindo permissões de GPO duvidosas
- Identificar todas as contas de serviço com encriptação fraca
- Visibilidade das contas de serviço que podem ser utilizadas para iniciar sessão de forma interactiva (uma forte indicação de compromisso)
- Identificar todas as contas que ainda são susceptíveis de AS-REP Roasting para permitir a correção dessas contas, se possível - ou monitorização apertada, se a correção não for possível
2. Detetar e mitigar ameaças
Para além de remediar proactivamente as vulnerabilidades de segurança do AD, as organizações devem implementar uma solução automatizada de deteção de ataques em tempo real, como o Semperis Lightning Identity Runtime Protection (IRP). Ao utilizar algoritmos de IA especificamente treinados com experiências de ataques de identidade do mundo real, esta solução permite que os defensores da segurança reduzam o ruído da monitorização e se concentrem em alertas críticos que possam indicar um ataque iminente. Lightning IRP pode:
- Identificar a tentativa dos agentes de ameaças de roubar bilhetes de serviço com encriptação fraca
- Identificar actividades anómalas de início de sessão de contas comprometidas
- Detetar padrões que indicam a presença de ataques de força bruta e de pulverização de palavras-passe
3. Assegurar a resiliência com uma recuperação rápida dos AD
No caso de um ataque devastador ou de uma violação conhecida, a capacidade de recuperar o AD rapidamente e para um estado de confiança é essencial para permitir que as organizações recusem o pagamento de resgates e reduzam os impactos dispendiosos.
Uma solução de recuperação como o Semperis Active Directory Forest Recovery (ADFR)- que pode recuperar o AD sem correr o risco de reinfeção por malware e ataques subsequentes - é essencial quando uma violação grave é detectada e a limpeza manual é considerada muito arriscada. ADFR pode:
- Garantir que o ambiente AD recuperado está livre de malware e ransomware
- Automatize a recuperação da floresta AD para evitar erros humanos e permitir o restabelecimento das operações comerciais em minutos ou horas
- Acelere a análise forense pós-ataque para identificar contas comprometidas e evitar futuros ataques
Instantâneo da Semperis
Os ciberataques ao Mackay Memorial Hospital e ao Changhua Christian Hospital são um lembrete claro de que, com elevadas recompensas e barreiras à entrada que podem ser contornadas por um simples e-mail de phishing, os agentes maliciosos têm as organizações de cuidados de saúde no seu radar. É essencial estar preparado para a inevitabilidade de um ciberataque.
Combater as ameaças em evolução neste cenário requer um plano de resiliência de identidade detalhado e testado, que coordene uma defesa de segurança AD em camadas através de pessoas, processos e tecnologia. Para as organizações de cuidados de saúde - com os seus sistemas complexos, em rápida mudança e arquitecturas híbridas - os desafios dessa coordenação são significativos.
Mas os riscos da inação são muito maiores.
Saiba mais sobre a segurança do Active Directory
- Explicação do abuso da política de grupo
- Auditoria eficaz de alterações de GPO com o Directory Services Protector
- Defesa em camadas para a segurança do Active Diretory
- Explicação do Kerberoasting
- Explicação da torrefação AS-REP
Notas finais
