Los atacantes consideran que el AD es un objetivo de gran valor y los defensores, en consecuencia, deben implementar las protecciones adecuadas.
El Directorio Activo (AD) se ha convertido en un elemento crítico de la mayoría de las redes corporativas. Aproximadamente el 90% de las empresas del ranking Fortune 1000 utilizan infraestructura de AD, el cual es responsable de los procesos críticos de autenticación y autorización en todos los recursos empresariales.
Los usuarios de una organización necesitan acceder fácilmente al directorio, algo que, si bien es conveniente, hace que el AD sea particularmente complejo de proteger. Un atacante que comprometa con éxito dicho servicio puede cambiar la membresía de grupos, los permisos, las políticas de seguridad y las listas de control de acceso (ACL). Luego, pueden usar este control para cambiar los derechos de los usuarios y hacerse pasar por empleados reales para realizar movimiento lateral y escalar privilegios, dándole al atacante las "llaves del reino".
Para un ataque de ransomware a gran escala, los ciberdelincuentes necesitan el control del AD para crear persistencia, instalar nuevos objetos y puertas traseras y distribuir código malicioso a otros sistemas, incluso mediante una directiva de grupo (GPO). Los atacantes consideran que el AD es un objetivo de gran valor y los defensores, en consecuencia, deben implementar las protecciones adecuadas. Combatir esta amenaza y mitigar los efectos de los ataques de ransomware actuales requiere una nueva forma de pensar y un uso más eficaz de las nuevas herramientas de ciberseguridad de la actualidad.
El crecimiento y agresividad del ransomware 2.0
El auge de ransomware 2.0 ha provocado una disminución de los ataques tradicionales con el enfoque indiscriminado. En el pasado, los atacantes entraban a la red e inmediatamente comenzaban a robar o cifrar cualquier dato que pudieran encontrar, con la esperanza de encontrar oro en ello. Los atacantes de hoy son mucho más deliberados y se mueven lateralmente por la red para identificar los activos más valiosos a los que hay que apuntar. Al comprometer el AD y otorgarse mayores privilegios, estos atacantes pueden acceder y controlar nuevas áreas de la red que potencialmente contienen datos mucho más valiosos. Los atacantes pueden incluso cifrar el corazón del AD como parte del rescate, lo que obliga a muchas organizaciones a pagar simplemente para volver a las operaciones normales.
Los operadores detrás del ransomware aprovecharán activamente las vulnerabilidades a medida que surjan oportunidades. Desafortunadamente, hay muchos ejemplos, como la reciente vulnerabilidad de día cero de Microsoft Exchange, que el ciber-actor patrocinado por el estado Hafnium explotó masivamente. En este caso, los atacantes se dieron cuenta de la vulnerabilidad antes del tradicional parche, lo que proporcionó tiempo suficiente para que otros actores de amenazas instalaran puertas traseras, ganaran persistencia y realizaran ataques de ransomware. Es una táctica común entre los ciberdelincuentes de hoy. Con el pago promedio de ransomware, ahora por encima de los $300,000 dólares (un aumento del 171% en solo un año), las organizaciones están bajo una mayor presión para encontrar una solución.
¿Por qué los ataques contra el AD son tan efectivos?
Desafortunadamente, las organizaciones a menudo ven el AD como una herramienta operativa de apoyo y tienden a medir su desempeño en función de la disponibilidad del servicio en lugar de la seguridad. Sin embargo, hoy en día este “coloquial servicio” se ha vuelto una gran preocupación dado que explotar sus vulnerabilidades, así como las configuraciones incorrectas, puede permitir a los atacantes obtener acceso y control privilegiados críticos, aunado a la capacidad de moverse discretamente por la red. Su importancia también ha hecho que las áreas de seguridad pongan un ojo en las áreas de infraestructura, en quienes históricamente cae la gestión del AD.
La protección tradicional del “repositorio de las identidades” se ha centrado principalmente en controlar las vulnerabilidades mediante parches, tratando de adherirse al principio de privilegios mínimos y políticas de administración por niveles. Y si bien estas son medidas necesarias, ya no son suficientes. Una organización solo puede corregir una vulnerabilidad después del descubrimiento, e incluso el análisis de las bitácoras combinado con la eterna promesa de correlación de los SIEMs (sistemas de gestión de eventos e información de seguridad) tiende a centrarse en la detección más que en la evaluación de la vulnerabilidad. Las organizaciones de hoy no pueden permitirse el lujo de centrarse en medidas estrictamente reactivas; deben ser proactivas.
Parte de ser proactivo significa mejorar la higiene cibernética. Las empresas deben inculcar una buena higiene cibernética en todos los ámbitos. Aun así, cuando se trata de abordar las vulnerabilidades del Active Directory, es fundamental validar regularmente las cuentas y los objetos del AD y mantener una lista actualizada de permisos y privilegios. La evaluación continua y el cambio rápido de ajustes y configuraciones pueden limitar las vulnerabilidades, incluidas las exposiciones, los permisos pasados por alto y los derechos. Los atacantes a menudo tienen como objetivo las cuentas de administrador delegado o las famosas cuentas “shadow”, pero estas auditorías pueden limitar las credenciales innecesarias o los derechos de acceso que crean rutas de ataque dentro de AD.
Mitigar la efectividad de los ataques al AD
Para Patricio Sánchez, Security Engineer Lead de respuesta a incidentes en Lyft, “uno de los retos más complejos de enfrentar es cuando los atacantes usan las técnicas de LOTL (Living off the Land), lo que les permite moverse de manera natural a través del AD y pasar desapercibidos; los equipos defensivos deben contar con la visibilidad completa no solo a nivel cuentas de usuario, sino flujos de comunicación, configuraciones y comportamientos; el tipo de visibilidad necesaria se podría obtener mediante la simulación y emulaciones de adversario, así como ejercicios de cacería de amenazas, y, por supuesto, teniendo un monitoreo más activo en la infraestructura mediante técnicas de defensa activa”, destaca el experto.
Los equipos de seguridad también deben tener visibilidad de los posibles problemas relacionados con las cuentas. La auditoría continua de estas, especialmente aquellas con privilegios administrativos, y la implementación de una política de privilegios mínimos donde los usuarios solo tienen los permisos necesarios para realizar sus funciones laborales esenciales, puede limitar estos problemas. Las organizaciones pueden confiar en sus empleados, pero las políticas demasiado permisivas, a menudo por conveniencia, son desastrosas si solo una cuenta se ve comprometida. Los equipos de seguridad también deben estar al tanto de las credenciales del AD almacenadas en los puntos finales y eliminarlas sistemáticamente.
Por último, es fundamental tener una mejor detección de ataques. El ransomware 2.0 se basa en la capacidad del atacante para moverse lateralmente por la red e identificar activos valiosos. Detectar ese movimiento representa una ventaja significativa para los defensores, que pueden aprovechar las soluciones tecnológicas de ocultación y desvío para ayudar con la detección temprana y la recopilación de inteligencia sobre las amenazas. Dichas soluciones pueden detectar consultas de ataques no autorizados al AD, generar una alerta e incluso todavía más poderoso, el devolver datos falsos al atacante para interrumpir sus esfuerzos. Cuando los atacantes intentan actuar sobre esos datos, pueden ser dirigidos a una superficie falsa que los aísla de forma segura dentro la red a medida que se recopila información sobre los procedimientos, técnicas y tácticas (TTPs) e indicadores de compromiso (IOCs) del atacante para su análisis. Los ciber actores desconocen que están perdiendo su tiempo y recursos mientras los defensores han frustrado la culminación de su ataque y a la par están reuniendo información valiosa para fortalecer sus defensas, ya que un operador distinto puede llegar más adelante.
Las amenazas en evolución requieren soluciones del mismo nivel
Los atacantes de ransomware de hoy inevitablemente apuntarán al AD para obtener privilegios, cambiar la configuración de políticas, distribuir código malicioso y cubrir sus huellas. Basta mirar los recientes ataques de ransomware de alto perfil que han obtenido pagos récord. Afortunadamente, con las innovaciones recientes de la industria bajo una visión holística, las organizaciones pueden mitigar de manera eficiente los riesgos de explotación del AD mejorando su higiene cibernética, manteniendo el conocimiento “continuo” de los problemas de las cuentas y detectando movimientos laterales dentro de la red.
Las herramientas modernas de protección del Active Directory, con un enfoque completo de defensa, pueden evitar que los atacantes vean los datos que buscan y obtengan información precisa al consultar el AD. Estas soluciones ahora pueden detectar y evitar que los atacantes realicen cambios en el AD, alertando rápidamente sobre actividades de ataque como intentos de fuerza bruta, ataques de “password spray” y otras tácticas que apuntan a objetos de AD o más avanzados como del tipo DCShadow o DCSync. Al evitar que los atacantes aprovechen las vulnerabilidades del AD, los equipos de seguridad pueden detener a los atacantes de ransomware en seco, y las herramientas de ciberseguridad avanzadas de hoy en día facilitan que las empresas de todos los tamaños mejoren de manera eficiente sus defensas.
Para Noé Espinoza, director de Innovación y Tecnología de la firma IQsec, este no es un tema nuevo. Hace casi cuatro años que se tuvo noticia del primer ransomware en el país, y aunque no tengamos los básicos de ciberseguridad que garanticen la confidencialidad, integridad y disponibilidad de los datos (como soluciones de cifrado, múltiple factor de autenticación, EDR, control de accesos privilegiados y una concientización permanente), Espinoza está convencido de que muchas de las causas que detonan de manera exitosa el ransomware, incluyen la falta de ciber higiene básica y fortalecimiento de muchos aspectos que hemos olvidado con el tiempo. “La tecnología se vuelve un control compensatorio para aquellos casos donde no hay una solución efectiva para un problema particular. La implementación de la defensa activa en torno al Directorio Activo nos alerta de las señales tempranas de que algo ‘malo’ puede suceder más adelante; no es normal que una computadora del área de finanzas consulte el AD para saber quiénes son los controladores de dominio o los ‘Domain Admins’ del entorno”, resalta Espinoza con base en la experiencia que tienen en la respuesta a incidentes y el servicio MDR de sus clientes actuales