El Directorio Activo: el elemento olvidado de los ataques de ransomware

· Según casos reportados, los criminales sólo necesitan 26 horas pasando inadvertidos para causar un daño de $6 millones de dólares.

Por Juan Carlos Vázquez.

La infraestructura de Active Directory (Directorio Activo; AD) de Microsoft sigue siendo fundamental en las denominadas campañas de ransomware “operado por humanos” y en la extorsión que se da después de un ataque, lo que representa una amenaza importante para las empresas y un reto de detección dado el poco tiempo que tienen para evitar su impacto.

Normalmente, el defensor sabe que hay ransomware dentro de la organización cuando los adversarios encriptan los recursos para interrumpir su disponibilidad. Es decir: la defensa se entera cuando ya es demasiado tarde para eludir la agresión.

Suponiendo que eventualmente van a penetrar la red, la ventaja de los atacantes radica en permanecer ocultos ante los controles de seguridad tradicionales para llevar a cabo sus ataques usando técnicas que evadan la detección. Los defensores pueden reducir el impacto de un ataque de ransomware en la medida en que detecten a los agresores con la suficiente anticipación.

El sitio “The DFIR Report” publicó recientemente un excelente caso de estudio en el que se analiza una infección provocada por el grupo de ransomware llamado Ryuk. Su análisis reveló que Ryuk pasó de un solo correo electrónico a infecciones de ransomware en todo el entorno en apenas poco más de un día y exigió más de $6 millones de dólares para liberar los sistemas. El grupo comenzó con una primera infección mediante el malware Bazar, y realizó después un reconocimiento durante las siguientes 26 horas. Una vez que lograron aplicar el “payload” del ransomware en el Controlador de Dominio de la organización, contagiaron al resto de la red. En total, el ataque tuvo una duración de 29 horas, desde la ejecución inicial mediante Bazar hasta que el ransomware se propagó por el dominio completo.

Días después, DFIR Report presentó un segundo caso de estudio en el que el adversario redujo el “dwell time”: pasó del ataque de phishing inicial a un cifrado completo del dominio en apenas cinco horas.

Con el grupo detrás del ransomware Ryuk, los atacantes utilizaron herramientas como Cobalt Strike, ADFind, PowerShell, WMI e incluso funcionalidades del propio sistema operativo, como “nltest” y “net group”, para descubrir el entorno de DA. En el segundo caso de estudio, aprovecharon la vulnerabilidad Zerologon, para la que Microsoft lanzó un parche en agosto de 2020, que permite que un agresor restablezca la contraseña del controlador de dominios principal, comprometiendo todos los servicios de identidad de AD.

Asimismo, muchos criminales han comenzado a exponer los datos de sus víctimas para elevar el nivel de coerción. Las organizaciones que se han negado a pagar los rescates (para recuperar sus datos) se sienten presionadas ante el daño financiero y reputacional que pueden sufrir. Los atacantes utilizarán incluso los datos para una segunda ronda de extorsiones, amenazando con revelar información a menos que la víctima pague.

Muchas de las técnicas utilizadas en las agresiones sugieren que los atacantes realizan un reconocimiento interno y se mueven lateralmente por las redes, con el fin de crear un perfil de sus víctimas y enfocándose en los activos más críticos de la organización de modo que puedan negociar con más elementos a su favor. El uso de las técnicas/herramientas “Living off the Land”, junto con el aprovechamiento del AD para propagar ransomware a través de GPO, es común en algunos ataques recientes.

A la luz de esta situación, surgen varias preguntas:

  • ¿Cómo identificar a los actores maliciosos en la infraestructura de AD y diferenciarlos de los recursos organizacionales? ¿Cómo distinguir las consultas legítimas de AD de las maliciosas?
  • ¿Cómo evitar el uso de herramientas como Bloodhound o Mimikatz? ¿Deberían las soluciones de EPP/EDR (Protección de Endpoint/Respuesta de Endpoint) detenerlas o alertar cuando alguien las utiliza?
  • ¿Cómo identificar que las credenciales expuestas en otros endpoints permiten a los atacantes explotarlos, moverse lateralmente o tener acceso a recursos críticos?
  • ¿Cómo se puede restringir la conectividad y confiar en las relaciones dentro del AD en diferentes áreas de la compañía para evitar la propagación de los ataques de ransomware?
  • ¿Cómo obtener visibilidad de que los atacantes están explotando cuentas privilegiadas -tales como administradores de dominios de AD, cuentas de servicio, o administradores en la sombra que poseen privilegios- en los endpoints?
  • ¿Cómo proteger los datos contra la manipulación que realizan programas no autorizados o ransomware?
  • ¿Cómo aislar la fuente del ataque cuando la investigación confirma la presencia de enumeración de los controladores de dominio o de eventos de “extracciónde credenciales”?

Estos desafíos, vitales para lograr una detección temprana y eficiente, requieren innovaciones con características especiales, que no se limiten a las funcionalidades y los conceptos típicos.

En el caso de Attivo Networks, ofrecemos la plataforma ThreatDefend, que utiliza los controles de seguridad existentes para resolver el problema de ransomware. Las soluciones de EPP/EDR actuales detectan muchas de las variantes que se utilizan hoy. Sin embargo, si los atacantes logran evadir estos y otros controles de protección tradicionales, ThreatDefend brinda capacidades de detección para el descubrimiento, el movimiento lateral, el aumento de privilegios y las actividades de recolección de datos que se observan en los ataques de ransomware controlado por humanos. Dicha cobertura abarca distintas capas de la organización en la red, el endpoint, los datos, las aplicaciones y en AD, brindando detección oportuna y precisa, y evitando que el ataque llegue a datos sensibles o críticos, credenciales y otros objetos.

Por su parte, la solución ADSecure, componente de la plataforma, impide que los atacantes irrumpan en un sistema comprometido al restringir su capacidad de realizar un reconocimiento o moverse lateralmente hacia los activos de producción. Niega a los agresores la capacidad de descubrir o listar controladores de dominios, membresías de los dominios, privilegios de grupos y otros objetos de AD, además de emitir alertas oportunas y precisas sobre la actividad. Asimismo, genera datos que llevan a los atacantes hacia los señuelos, identificando sus tácticas, técnicas y procedimientos, y ofrece telemetría con los detalles de las herramientas que utilizaron para extraer datos de AD. En otras palabras, la solución desvía y proporciona información errónea a los atacantes tan pronto como intentan desplazarse, desviándolos al entorno señuelo y reduciendo el impacto en la infraestructura de producción.

Asimismo, ofrece información detallada de los eventos, muestra reproducciones visuales de los ataques, y reúne evidencia forense para análisis y desarrollo de inteligencia de amenazas a fin de elevar la posición de seguridad y defender contra agresiones subsecuentes.

A través de la función DataCloak, la plataforma de Attivo oculta e impide el acceso a archivos locales, carpetas, dispositivos removibles y porciones de red o nube, evitando así que los atacantes enumeren, accedan, encripten o incluso que los sustraigan de la organización. Al mismo tiempo, la plataforma hace un registro de los archivos compartidos falsos que llevan a los servidores señuelo para que el ransomware los descubra y encripte. Cuando el malware intenta encriptar los datos que encuentra, esta innovación limita la velocidad de la conexión y alimenta al ransomware con flujos infinitos de datos para encriptar. Este retraso detiene el ataque, brindando a los equipos de seguridad el tiempo para aislar los sistemas infectados mediante la funcionalidad Deflect y evitar un mayor daño rápidamente.

La protección contra los ataques modernos de ransomware y de adversarios avanzados requiere preparación y controles de seguridad superpuestos que ofrezcan una defensa en capas que los atacantes sofisticados deben penetrar sin ser detectados. Una innovación como ThreatDefend, implementada como una capa “de visibilidad” en dicha estrategia de defensa, mejora los controles de seguridad y ofrece funciones únicas de negación, detección y desvío para elevar la postura de seguridad y hacer más resistente a la organización contra los ataques de ransomware.

*Gerente para Latinoamérica de Attivo Networks.

 

Acerca de Attivo Networks

Attivo Networks®, es el líder en cyber deception y detección de ataques de movimiento lateral, ofrece defensa superior para revelar y prevenir la actividad no autorizada y las amenazas externas. La ThreatDefend® Platform de Attivo probada por los clientes ofrece una solución escalable para desviar a los atacantes y reducir la superficie de ataque dentro de las redes de usuarios, centros de datos, sitios de trabajo remotos y superficies de ataque especializadas. El portafolio defiende en el punto final, Directorio Activo y a través de la red con innovaciones de punta para prevenir y desviar la actividad de los ataques laterales. Investigaciones forenses, análisis automático de ataques e integraciones nativas de terceros agilizan la respuesta a los incidentes. La compañía ha ganado más de 130 premios por su innovación tecnológica y su liderazgo. Si desea consultar más información, visite www.attivonetworks.com.