¿Por qué es importante revisar el Directorio Activo en los ataques de ransomware?
Según casos reportados, los criminales sólo necesitan 26 horas pasando inadvertidos para causar un daño de hasta $6 millones de dólares.
La infraestructura de Active Directory (Directorio Activo; AD) de Microsoft sigue siendo fundamental en las denominadas campañas de ransomware “operado por humanos” y en la extorsión que se da después de un ataque, lo que representa una amenaza importante para las empresas y un reto de detección dado el poco tiempo que tienen para evitar su impacto.
Normalmente, el defensor sabe que hay ransomware dentro de la organización cuando los adversarios encriptan los recursos para interrumpir su disponibilidad. Es decir: la defensa se entera cuando ya es demasiado tarde para eludir la agresión.
Suponiendo que eventualmente van a penetrar la red, la ventaja de los atacantes radica en permanecer ocultos ante los controles de seguridad tradicionales para llevar a cabo sus ataques usando técnicas que evadan la detección. Los defensores pueden reducir el impacto de un ataque de ransomware en la medida en que detecten a los agresores con la suficiente anticipación.
El sitio The DFIR Report publicó recientemente un caso de estudio en el que se analiza una infección provocada por el grupo de ransomware llamado Ryuk. Su análisis reveló que Ryuk pasó de un solo correo electrónico a infecciones de ransomware en todo el entorno en apenas poco más de un día y exigió más de $6 millones de dólares para liberar los sistemas. El grupo comenzó con una primera infección mediante el malware Bazar, y realizó después un reconocimiento durante las siguientes 26 horas. Una vez que lograron aplicar el “payload” del ransomware en el Controlador de Dominio de la organización, contagiaron al resto de la red. En total, el ataque tuvo una duración de 29 horas, desde la ejecución inicial mediante Bazar hasta que el ransomware se propagó por el dominio completo.
Días después, DFIR Report presentó un segundo caso de estudio en el que el adversario redujo el “dwell time”: pasó del ataque de phishing inicial a un cifrado completo del dominio en apenas cinco horas.
Con el grupo detrás del ransomware Ryuk, los atacantes utilizaron herramientas como Cobalt Strike, ADFind, PowerShell, WMI e incluso funcionalidades del propio sistema operativo, como “nltest” y “net group”, para descubrir el entorno de AD. En el segundo caso de estudio, aprovecharon la vulnerabilidad Zerologon, para la que Microsoft lanzó un parche en agosto de 2020, que permite que un agresor restablezca la contraseña del controlador de dominios principal, comprometiendo todos los servicios de identidad de AD.
Asimismo, muchos criminales han comenzado a exponer los datos de sus víctimas para elevar el nivel de coerción. Las organizaciones que se han negado a pagar los rescates (para recuperar sus datos) se sienten presionadas ante el daño financiero y reputacional que pueden sufrir. Los atacantes utilizarán incluso los datos para una segunda ronda de extorsiones, amenazando con revelar información a menos que la víctima pague.
Muchas de las técnicas utilizadas en las agresiones sugieren que los atacantes realizan un reconocimiento interno y se mueven lateralmente por las redes, con el fin de crear un perfil de sus víctimas y enfocándose en los activos más críticos de la organización de modo que puedan negociar con más elementos a su favor. El uso de las técnicas/herramientas “Living off the Land”, junto con el aprovechamiento del AD para propagar ransomware a través de GPO, es común en algunos ataques recientes.
A la luz de esta situación, surgen varias preguntas:
- ¿Cómo identificar a los actores maliciosos en la infraestructura de AD y diferenciarlos de los recursos organizacionales? ¿Cómo distinguir las consultas legítimas de AD de las maliciosas?
- ¿Cómo evitar el uso de herramientas como Bloodhound o Mimikatz? ¿Deberían las soluciones de EPP/EDR (Protección de Endpoint/Respuesta de Endpoint) detenerlas o alertar cuando alguien las utiliza?
- ¿Cómo identificar que las credenciales expuestas en otros endpoints permiten a los atacantes explotarlos, moverse lateralmente o tener acceso a recursos críticos?
- ¿Cómo se puede restringir la conectividad y confiar en las relaciones dentro del AD en diferentes áreas de la compañía para evitar la propagación de los ataques de ransomware?
- ¿Cómo obtener visibilidad de que los atacantes están explotando cuentas privilegiadas -tales como administradores de dominios de AD, cuentas de servicio, o administradores en la sombra que poseen privilegios- en los endpoints?
- ¿Cómo proteger los datos contra la manipulación que realizan programas no autorizados o ransomware?
- ¿Cómo aislar la fuente del ataque cuando la investigación confirma la presencia de enumeración de los controladores de dominio o de eventos de “extracción de credenciales”?
Opciones para asegurar el AD
Estos desafíos, vitales para lograr una detección temprana y eficiente, requieren innovaciones con características especiales, que no se limiten a las funcionalidades y los conceptos típicos.
Attivo Networks ofrece la plataforma ThreatDefend, que utiliza los controles de seguridad existentes para resolver el problema de ransomware y brinda capacidades de detección para el descubrimiento, el movimiento lateral, el aumento de privilegios y las actividades de recolección de datos que se observan en los ataques de ransomware controlado por humanos. Dicha cobertura abarca distintas capas de la organización en la red, el endpoint, los datos, las aplicaciones y en AD, evitando que el ataque llegue a datos sensibles o críticos, credenciales y otros objetos.
Otro componente de la plataforma, ADSecure, impide que los atacantes irrumpan en un sistema comprometido al restringir su capacidad de realizar un reconocimiento o moverse lateralmente hacia los activos de producción. Niega a los agresores la capacidad de descubrir o listar controladores de dominios, membresías de los dominios, privilegios de grupos y otros objetos de AD, además de emitir alertas oportunas y precisas sobre la actividad. También genera datos que llevan a los atacantes hacia los señuelos, identificando sus tácticas, técnicas y procedimientos.
Asimismo, ofrece información detallada de los eventos, muestra reproducciones visuales de los ataques, y reúne evidencia forense para análisis y desarrollo de inteligencia de amenazas a fin de elevar la posición de seguridad y defender contra agresiones subsecuentes.
Finalmente, DataCloak, oculta e impide el acceso a archivos locales, carpetas, dispositivos removibles y porciones de red o nube, evitando así que los atacantes enumeren, accedan, encripten o incluso que los sustraigan de la organización. Este retraso detiene el ataque, brindando a los equipos de seguridad el tiempo para aislar los sistemas infectados mediante la funcionalidad Deflect y evitar un mayor daño rápidamente.
Sobre el autor: Juan Carlos Vázquez es gerente de Attivo Networks para Latinoamérica.