¿Por qué es importante revisar el Directorio Activo en los ataques de ransomware?

La infraestructura de Active Directory (Directorio Activo; AD) de Microsoft sigue siendo fundamental en las denominadas campañas de ransomware “operado por humanos” y en la extorsión que se da después de un ataque, lo que representa una amenaza importante para las empresas y un reto de detección dado el poco tiempo que tienen para evitar su impacto.

Normalmente, el defensor sabe que hay ransomware dentro de la organización cuando los adversarios encriptan los recursos para interrumpir su disponibilidad. Es decir: la defensa se entera cuando ya es demasiado tarde para eludir la agresión.

Suponiendo que eventualmente van a penetrar la red, la ventaja de los atacantes radica en permanecer ocultos ante los controles de seguridad tradicionales para llevar a cabo sus ataques usando técnicas que evadan la detección. Los defensores pueden reducir el impacto de un ataque de ransomware en la medida en que detecten a los agresores con la suficiente anticipación.

El sitio The DFIR Report publicó recientemente un caso de estudio en el que se analiza una infección provocada por el grupo de ransomware llamado Ryuk. Su análisis reveló que Ryuk pasó de un solo correo electrónico a infecciones de ransomware en todo el entorno en apenas poco más de un día y exigió más de $6 millones de dólares para liberar los sistemas. El grupo comenzó con una primera infección mediante el malware Bazar, y realizó después un reconocimiento durante las siguientes 26 horas. Una vez que lograron aplicar el “payload” del ransomware en el Controlador de Dominio de la organización, contagiaron al resto de la red. En total, el ataque tuvo una duración de 29 horas, desde la ejecución inicial mediante Bazar hasta que el ransomware se propagó por el dominio completo.

Días después, DFIR Report presentó un segundo caso de estudio en el que el adversario redujo el “dwell time”: pasó del ataque de phishing inicial a un cifrado completo del dominio en apenas cinco horas.

Con el grupo detrás del ransomware Ryuk, los atacantes utilizaron herramientas como Cobalt Strike, ADFind, PowerShell, WMI e incluso funcionalidades del propio sistema operativo, como “nltest” y “net group”, para descubrir el entorno de AD. En el segundo caso de estudio, aprovecharon la vulnerabilidad Zerologon, para la que Microsoft lanzó un parche en agosto de 2020, que permite que un agresor restablezca la contraseña del controlador de dominios principal, comprometiendo todos los servicios de identidad de AD.

Asimismo, muchos criminales han comenzado a exponer los datos de sus víctimas para elevar el nivel de coerción. Las organizaciones que se han negado a pagar los rescates (para recuperar sus datos) se sienten presionadas ante el daño financiero y reputacional que pueden sufrir. Los atacantes utilizarán incluso los datos para una segunda ronda de extorsiones, amenazando con revelar información a menos que la víctima pague.

Muchas de las técnicas utilizadas en las agresiones sugieren que los atacantes realizan un reconocimiento interno y se mueven lateralmente por las redes, con el fin de crear un perfil de sus víctimas y enfocándose en los activos más críticos de la organización de modo que puedan negociar con más elementos a su favor. El uso de las técnicas/herramientas “Living off the Land”, junto con el aprovechamiento del AD para propagar ransomware a través de GPO, es común en algunos ataques recientes.

A la luz de esta situación, surgen varias preguntas:

• ¿Cómo identificar a los actores maliciosos en la infraestructura de AD y diferenciarlos de los recursos organizacionales? ¿Cómo distinguir las consultas legítimas de AD de las maliciosas?
• ¿Cómo evitar el uso de herramientas como Bloodhound o Mimikatz? ¿Deberían las soluciones de EPP/EDR (Protección de Endpoint/Respuesta de Endpoint) detenerlas o alertar cuando alguien las utiliza?
• ¿Cómo identificar que las credenciales expuestas en otros endpoints permiten a los atacantes explotarlos, moverse lateralmente o tener acceso a recursos críticos?
• ¿Cómo se puede restringir la conectividad y confiar en las relaciones dentro del AD en diferentes áreas de la compañía para evitar la propagación de los ataques de ransomware?
• ¿Cómo obtener visibilidad de que los atacantes están explotando cuentas privilegiadas -tales como administradores de dominios de AD, cuentas de servicio, o administradores en la sombra que poseen privilegios- en los endpoints?
• ¿Cómo proteger los datos contra la manipulación que realizan programas no autorizados o ransomware?
• ¿Cómo aislar la fuente del ataque cuando la investigación confirma la presencia de enumeración de los controladores de dominio o de eventos de “extracción de credenciales”?