Desde que el mundo giró a la digitalización, las tasas de ataques de ransomware han venido creciendo. Empresas de todos los tamaños e incluso gobiernos han caído en sus trampas. Aquí explicaremos cómo los delincuentes usan Active Directory cómo un arma para instalar ransomware.

El aumento del número de variantes de ransomware en funcionamiento, el éxito del modelo de ransomware como servicio (RaaS) y la disposición de las organizaciones a pagar el rescate exigido a cambio de la clave de descifrado son razones cruciales por las que los ataques de ransomware han tenido un enorme éxito.

Actualmente, el promedio de los pagos por ransomware ha alcanzado una asombrosa cifra de 570.000 dólares, lo que supone un 80% más que el rescate promedio exigido durante 2020, según datos de PaloAlto Networks.

AD: ¿cómo se explota?

Active Directory es un elemento de gran valor tanto para las compañías, cómo para los atacantes. La cantidad de información registrada, la gestión de accesos y las posibilidades de administración hacen que se convierta en una tentadora opción para los atacantes.

En muchos de los ataques de ransomware, los atacantes explotan AD para entender la configuración de la red objetivo, descubrir y tomar el control de las cuentas de administrador del dominio y de las cuentas de no administrador con privilegios excesivos, moverse lateralmente dentro de la red para comprometer más sistemas sin ser detectados, aplicar el ransomware para todos los dispositivos de la red de una sola vez, y muchas otras tareas.

Caso 1: Save the queen

A principios de 2020, la empresa de seguridad Varonis (de Estados Unidos) descubrió una nueva cepa del ransomware SaveTheQueen que aprovechaba los controladores de dominio (DC) de AD para propagarse por la red.

El DC es el servidor que no sólo autentifica a los usuarios en la red, sino que también almacena información crucial relacionada con los usuarios y los dispositivos, como las políticas de grupo. Se encontró a esta cepa particular de SaveTheQueen propagándose a través del recurso compartido SYSVOL almacenado en los controladores de dominio.

El contenido presente en SYSVOL en un DC se replicó en todos los demás DC con la ayuda del servicio de replicación de archivos para garantizar que los datos de las carpetas SYSVOL estén sincronizadas.

En el caso de SaveTheQueen, se crearon dos tipos de archivos dentro de la carpeta SYSVOL: archivos de log y un archivo llamado hourly, que era una tarea programada que ejecutaba el malware en los dispositivos.

Sólo los usuarios con privilegios de administrador tienen acceso de escritura, lo que demuestra que el ataque de ransomware no habría progresado si los atacantes no hubieran podido controlar una cuenta con privilegios de administrador.

Caso 2: Maze

Los ataques del ransomware Maze ganaron notoriedad por su diferencia con los ataques de ransomware habituales: en la mayoría de los ataques de Maze, además de cifrar los datos, también se exfiltraban. El grupo detrás de Maze amenazaba con publicar los datos robados en su sitio web en la dark web si las víctimas no accedían a pagar el rescate.

Los ataques relacionados con Maze no fueron llevados a cabo por un único grupo. Por el contrario, siguieron el modelo de RaaS, en el que los desarrolladores originales del malware se asociaron con afiliados que lo distribuían.

En la mayoría de los ataques de Maze, los atacantes utilizaban herramientas como Mimikatz y BloodHound para recopilar credenciales que les permitieran controlar las cuentas privilegiadas. A menudo, también utilizaban BloodHound para perfilar la configuración de AD de una organización y descubrir las cuentas privilegiadas dentro de ella.

Los investigadores de seguridad descubrieron que los ataques de Maze también utilizan SharpHound, un recopilador de datos que BloodHound aprovecha para recopilar datos de AD.

Cuando los datos recopilados se introducen en BloodHound, la herramienta ofrece una serie de scripts preconfigurados para analizar los datos. Incluye consultas como “encontrar equipos en los que los usuarios del dominio son administradores locales” y “encontrar servidores en los que los usuarios del dominio pueden usar RDP”.

El atacante incluso puede ejecutar una consulta para identificar el camino más corto a través del cual puede obtener privilegios de administrador de dominio desde una cuenta de usuario de dominio que ha comprometido.

A finales de 2020, el grupo del ransomware Maze anunció su cese de operaciones. Sin embargo, los expertos en seguridad piensan que probablemente se trata de un cambio de marca y que las organizaciones deberían estar atentas a ataques similares a los realizados por el grupo.

¿Cómo protegerse?

Aunque son muchas las recomendaciones para evitar ser víctimas de ransomware y proteger proactivamente los entornos de Active Directory, en este ebook completamente en español encontrará toda la información que necesita.

Más detalles de los ataques, las etapas clave de un ataque de ransomware y seis medidas de defensa para evitar que esta clase de amenazas se apoderen de su infraestructura de AD.