Por que é importante verificar o Active Directory nos ataques de ransomware?
De acordo com os casos relatados, os criminosos precisam de apenas 26 horas despercebidos para causar danos de até US$ 6 milhões
A infraestrutura do Active Directory (AD) da Microsoft continua sendo fundamental para as chamadas campanhas de ransomware “operadas por humanos” e na extorsão pós-ataque, representando uma ameaça significativa para as empresas e um desafio de detecção, dado o pouco tempo de que dispõem para evitar seu impacto.
Normalmente, o defensor sabe que há um ransomware dentro da organização quando os cibercriminosos criptografam recursos para interromper sua disponibilidade. Em outras palavras, a defesa descobre quando já é tarde demais para escapar da agressão.
Supondo que acabarão por acessar a rede, os invasores têm a vantagem de permanecer ocultos dos controles de segurança tradicionais para realizar seus ataques usando técnicas que fogem à detecção. Os responsáveis pela proteção podem reduzir o impacto de um ataque de ransomware detectando os invasores com antecedência suficiente.
O site DFIR Report publicou recentemente um estudo de caso que examinou uma invasão causada pelo grupo de ransomware Ryuk. A análise revelou que os invasores passaram de um único e-mail para infecções de ransomware em todo o ambiente em pouco mais de um dia, exigindo mais de US$ 6 milhões para liberar os sistemas. O grupo começou com uma primeira invasão usando o malware Bazaar, que realizou um reconhecimento por 26 horas. Depois que conseguiu aplicar a carga útil do ransomware no controlador de domínio da organização, o grupo contaminou o restante da rede. No total, o ataque durou 29 horas, da execução inicial do Bazaar até que o ransomware se espalhasse por todo o domínio.
Dias depois, o DFIR Report apresentou um segundo estudo de caso em que o adversário reduziu o “tempo de permanência”: passou do ataque inicial de phishing à criptografia total do domínio em apenas cinco horas.
No caso do Ryuk, o ataque usou ferramentas como Cobalt Strike, ADFind, PowerShell, WMI e até funcionalidades do próprio sistema operacional, como "nltest" e "net group", para descobrir o ambiente AD. No segundo episódio, os invasores aproveitaram a vulnerabilidade Zerologon, para a qual a Microsoft lançou um patch em agosto de 2020, que permite ao cibercriminoso redefinir a senha do controlador de domínio primário, comprometendo todos os serviços de identidade do AD.
Além disso, muitos criminosos começaram a expor os dados de suas vítimas para aumentar o nível de coerção. As organizações que se recusam a pagar os resgates para obter seus dados de volta se sentem pressionadas pelos danos financeiros e de reputação que podem sofrer. Os invasores ainda usam os dados para uma segunda rodada de extorsão, ameaçando revelar informações, a menos que a vítima pague.
Muitas das técnicas utilizadas nos ataques sugerem que os invasores realizam um reconhecimento interno e se movem lateralmente pelas redes, a fim de criar um perfil de suas vítimas e focar nos ativos mais críticos da organização para que possam negociar com mais elementos a seu favor. O uso de técnicas/ferramentas “Living off the Land”, junto com o aproveitamento do AD para espalhar ransomware via GPO, é comum em alguns ataques recentes.
Diante dessa situação, surgem várias questões:
- Como identificar os agentes mal-intencionados na infraestrutura do AD e diferenciá-los dos recursos organizacionais? Como distinguir as consultas legítimas do AD das mal-intencionadas?;
- Como evitar o uso de ferramentas como Bloodhound ou Mimikatz? As soluções EPP/EDR (Endpoint Protection/Endpoint Response) devem pará-las ou alertar quando alguém as usa?;
- Como identificar se as credenciais expostas em outros endpoints permitem que invasores as explorem, movam-se lateralmente ou acessem recursos críticos?;
- Como restringir a conectividade e confiar nas relações dentro do AD em diferentes áreas da empresa para evitar a propagação dos ataques de ransomware?;
- Como saber que os invasores estão explorando contas privilegiadas - como administradores de domínio do AD, contas de serviço ou “shadow admins” que possuem privilégios - em endpoints?;
- Como proteger os dados contra a manipulação por programas não autorizados ou ransomwares?;
- Como isolar a origem do ataque quando a investigação confirma a presença de enumeração dos controladores de domínio ou eventos de “extração de credencial”?
Opções para proteger o AD
Esses desafios, vitais para a detecção precoce e eficiente de invasões, exigem inovações com características especiais, não limitadas a funcionalidades e conceitos típicos.
A Attivo Networks oferece a plataforma ThreatDefend, que usa os controles de segurança existentes para resolver o problema do ransomware e fornece recursos de detecção para descobrir movimentações laterais, aumento de privilégios e atividades de coleta de dados observadas nos ataques de ransomware controlados por seres humanos. Esta cobertura abrange diferentes camadas da organização na rede, no endpoint, nos dados, nas aplicações e no AD, evitando que o ataque atinja dados sensíveis ou críticos, credenciais e outros objetos.
Outro componente da plataforma, o ADSecure, impede a invasão de um sistema comprometido, restringindo sua capacidade de reconhecer ou mover-se lateralmente para ativos de produção. Nega aos invasores a capacidade de descobrir ou listar controladores de domínios, associações de domínios, privilégios de grupos e outros objetos do AD, bem como emite alertas oportunos e precisos sobre a atividade. Ele também gera dados que levam os invasores a iscas, identificando suas táticas, técnicas e procedimentos.
A ferramenta fornece, ainda, informações detalhadas dos eventos, exibe reproduções visuais dos ataques e reúne evidências forenses para o desenvolvimento e análise de inteligência de ameaças, de maneira a aprimorar a segurança e a defesa contra ataques subsequentes.
Por fim, o DataCloak oculta e impede o acesso a arquivos locais, pastas, dispositivos removíveis e partes da rede ou nuvem, evitando, assim, que invasores os enumerem, acessem, criptografem ou até que os roubem da organização. Esse atraso interrompe o ataque, dando às equipes de segurança tempo para isolar os sistemas infectados por meio da funcionalidade Deflect, evitando rapidamente maiores danos.
Sobre o autor: Juan Carlos Vázquez é gerente da Attivo Networks para a América Latina.