33.9 C
Colombia
lunes, julio 7, 2025

Cómo los ciberactores explotan los controladores de dominio que usan ransomware


En los últimos años, los ataques cibernéticos operados por humanos han sufrido una transformación dramática. Estos ataques, una vez caracterizados por ataques esporádicos y oportunistas, se han convertido en campañas altamente sofisticadas y específicas destinadas a causar el máximo daño a las organizaciones, con el costo promedio de un ataque de ransomware que alcanza los $ 9.36 millones en 2024.1 Un catalizador clave para esta evolución es el aumento del ransomware como una herramienta principal para la extorsión financiera, un enfoque que depende de las operaciones de una organización al encriptar datos críticos y exigir un rescate para su liberación. Defensor de Microsoft para Endpoint interrumpe los ataques de ransomware en un promedio de tres minutos, solo se activan cuando más del 99.99% confía en presencia de un ataque cibernético.

La evolución de los ataques de ransomware

Las campañas modernas de ransomware están meticulosamente planificadas. Los ataques cibernéticos entienden que sus posibilidades de asegurar un rescate aumentan significativamente si pueden infligir daños generalizados en el entorno de una víctima. La justificación es easy: pagar el rescate se convierte en la opción más viable cuando la alternativa, que recorta el medio ambiente y la recuperación de datos, es técnicamente inútil, requiere mucho tiempo y costoso.

Este nivel de daño ocurre en minutos e incluso segundos, donde los malos actores se incrustan dentro del entorno de una organización, estableciendo las bases para un ataque cibernético coordinado que puede cifrar docenas, cientos o incluso miles de dispositivos dentro minutos. Para ejecutar dicha campaña, los actores de amenaza deben superar varios desafíos, como evadir la protección, mapear la pink, mantener su capacidad de ejecución de código y preservar la persistencia en el medio ambiente, desarrollar su camino para asegurar Dos requisitos principales necesario ejecutar ransomware en múltiples dispositivos simultáneamente:

  • Cuentas de alto privilegio: Ya sea que los ciberactores elijan soltar archivos y cifrar los dispositivos localmente o realizar operaciones remotas a través de la pink, deben obtener la capacidad de autenticarse en un dispositivo. En un entorno native, los ciberactores generalmente se dirigen a cuentas de administración de dominio u otras cuentas de alto privilegio, ya que esas pueden autenticarse con los recursos más críticos en el entorno.
  • Acceso a los activos de la pink central: Para ejecutar el ataque de ransomware de la manera más rápida y amplia posible, los actores de amenaza apuntan a lograr el acceso a un activo central en la pink que está expuesto a muchos puntos finales. Por lo tanto, pueden aprovechar la posesión de cuentas de alto privilegio y conectarse a todos los dispositivos visibles en su línea de visión.

El papel de los controladores de dominio en las campañas de ransomware

Los controladores de dominio son la columna vertebral de cualquier entorno native, administrando la identidad y el acceso a través de Lively Listing (AD). Desempeñan un papel basic en permitir que los ciberactores cibernéticos logren sus objetivos cumpliendo dos requisitos críticos:

1. Comprometer cuentas altamente privilegiadas

Los controladores de dominio albergan la base de datos de anuncios, que contiene información confidencial sobre todas las cuentas de usuario, incluidas cuentas altamente privilegiadas como administradores de dominio. Al comprometer un controlador de dominio, los actores de amenaza pueden:

  • Extraer hash de contraseña: Doblar el archivo NTDS.DIT ​​permite a los ciberactss obteniendo hash de contraseña para cada cuenta de usuario.
  • Crear y elevar cuentas privilegiadas: CyberAtackers pueden generar nuevas cuentas o manipular las existentes, asignándoles permisos elevados, asegurando un management continuo sobre el medio ambiente.

Con estas capacidades, los ciberactores pueden autenticarse como usuarios altamente privilegiados, facilitando el movimiento lateral en toda la pink. Este nivel de acceso les permite implementar ransomware en una escala, maximizando el impacto de su ataque.

2. Explotación del acceso centralizado de la pink

Los controladores de dominio manejan tareas cruciales como autenticar a los usuarios y dispositivos, administrar cuentas y políticas de usuarios, y mantener la base de datos de anuncios consistente en toda la pink. Debido a estos roles importantes, muchos dispositivos deben interactuar con los controladores de dominio regularmente para garantizar la seguridad, la gestión eficiente de los recursos y la continuidad operativa. Es por eso que los controladores de dominio deben ser centrales en la pink y accesibles para muchos puntos finales, lo que los convierte en un objetivo principal para los ciberactores que buscan causar el máximo daño con ataques de ransomware.

Dados estos factores, no sorprende que los controladores de dominio estén frecuentemente en el centro de las operaciones de ransomware. Los ciberactores los atacan constantemente para obtener acceso privilegiado, se mueven lateralmente e implementan ransomware rápidamente en un entorno. Hemos visto en Más del 78% de los ataques cibernéticos operados por humanos, los actores de amenaza violan con éxito un controlador de dominio. Además, En más del 35% de los casos, el dispositivo de dispersión primario, el sistema responsable de distribuir ransomware a escala, es un controlador de dominio, Destacando su papel essential en la habilitación de cifrado generalizado e interrupción operativa.

Estudio de caso: ataque de ransomware utilizando un controlador de dominio comprometido

En un caso notable, un fabricante de pequeño mediano fue víctima de un actor de amenaza bien conocido y altamente calificado, comúnmente identificado como Storm-0300, intentando ejecutar un ataque de ransomware generalizado:

Cómo Microsoft Defender para la interrupción del ataque automático de Endpoint ayudó a contener un ataque de ransomware generalizado llamado Storm-0300.

Actividad de compromiso previo al dominio

Después de obtener el acceso inicial, presumiblemente al aprovechar la infraestructura VPN del cliente y antes de obtener privilegios de administración de dominios, los ciberactores iniciaron una serie de acciones centradas en mapear posibles activos y privilegios crecientes. Se detecta una ejecución amplia y remota del volcado de secretos en Defensor de Microsoft para Endpoint-Enpisos abordados y el usuario 1 (usuario de dominio) está contenido por la interrupción del ataque.

Actividad de compromiso de dominio put up

Una vez que asegurar credenciales de administrador del dominio (usuario 2), potencialmente aprovechando el patrimonio no abordado de la víctima, el atacante intenta inmediatamente conectarse al controlador de dominio de la víctima (DC1) utilizando el protocolo de escritorio remoto (RDP) desde el dispositivo controlado del ciberajiador. Al obtener acceso a DC1, el CyberAttacker aprovecha el dispositivo para realizar el siguiente conjunto de acciones:

  • Reconocimiento—El CyberAttacker aprovecha la amplia visibilidad de la pink del controlador del dominio y los altos privilegios para asignar la pink utilizando diferentes herramientas, centrándose en servidores y acciones de pink.
  • Evasión de defensa—Verente de la funcionalidad de política de grupo nativo del controlador de dominio, el ciberactacador intenta manipular el antivirus de la víctima modificando la configuración de la política de grupos relacionadas con la seguridad.
  • Persistencia—El CyberAttacker aprovecha el acceso directo a Lively Listing, creando nuevos usuarios de dominio (Usuario 3 y Usuario 4) y agregándolos al Grupo Admin de Dominio, estableciendo así un conjunto de usuarios altamente privilegiados que luego se utilizarían para ejecutar el ataque de ransomware.

Cifrado a través de la pink

Una vez que el CyberAttacker toma el management sobre un conjunto de usuarios altamente privilegiados, esto les proporciona acceso a cualquier recurso unido por dominio, incluido el acceso integral de la pink y la visibilidad. También les permitirá configurar herramientas para la fase de cifrado del ciberataque.

Suponiendo que puedan validar la efectividad de un controlador de dominio, comienzan ejecutando la carga útil localmente en el controlador de dominio. La interrupción del ataque detecta el intento del actor de amenaza de ejecutar la carga útil y contiene el usuario 2, el usuario 3 y el dispositivo controlado por el ciberAttacker utilizado para RDP al controlador de dominio.

Después de contener con éxito los usuarios 2 y 3, el CyberAttacker procedió a iniciar sesión en el controlador de dominio utilizando el usuario 4, que aún no se había utilizado. Después de iniciar sesión en el dispositivo, el CyberAttacker intentó cifrar numerosos dispositivos a través de la pink desde el controlador de dominio, aprovechando el acceso proporcionado por el usuario 4.

La interrupción del ataque detecta el inicio del cifrado a través de la pink y contiene automáticamente granularmente DC1 y Usuario 4, bloqueando el intento de cifrado remoto en todos los defensores de Microsoft para dispositivos de punto closing y dirigidos.

Protección de sus controladores de dominio

Dado el papel central de los controladores de dominio en los ataques de ransomware, protegerlos es basic para prevenir el daño a gran escala. Sin embargo, asegurar controladores de dominio es particularmente desafiante debido a su papel basic en las operaciones de pink. A diferencia de otros puntos finales, los controladores de dominio deben permanecer altamente accesibles para autenticar a los usuarios, hacer cumplir las políticas y administrar recursos en todo el entorno. Este nivel de accesibilidad hace que sea difícil aplicar las medidas de seguridad tradicionales sin interrumpir la continuidad del negocio. Por lo tanto, los equipos de seguridad enfrentan constantemente el complejo desafío de lograr el equilibrio adecuado entre la seguridad y la funcionalidad operativa.

Para abordar este desafío, el defensor para el punto closing introducido contiene activos de alto valor (HVA), una expansión de nuestra capacidad contenida del dispositivo diseñada para contener automáticamente HVA como controladores de dominio de manera granular. Esta característica se basa en el defensor para la capacidad de Endpoint para clasificar los roles de dispositivos y los niveles de criticidad para ofrecer una política de contención basada en roles personalizada, lo que significa que si un dispositivo wise, dicho controlador de dominio, está comprometido, se contiene inmediatamente en menos de tres minutos, evitando que el ciberactacador se mueva lateralmente y desplegue ransomware lateral, al tiempo que mantiene la funcionalidad operativa del dispositivo. La capacidad del controlador de dominio para distinguir entre el comportamiento malicioso y benigno ayuda a mantener en funcionamiento la autenticación esencial y los servicios de directorio. Este enfoque proporciona una contención rápida y automatizada de ciberataque sin sacrificar la continuidad del negocio, lo que permite a las organizaciones mantenerse resistentes contra sofisticados cibernétricos operados por humanos.

Ahora los controladores de dominio de su organización pueden aprovechar la interrupción automática de los ataques como una línea adicional de defensa contra actores maliciosos que intentan superar activos de alto valor y ejercer costosos ataques de ransomware.

Obtenga más información

Discover estos recursos para mantenerse actualizados sobre las últimas capacidades de interrupción de ataque automático:

Para obtener más información sobre Microsoft Safety Options, visite nuestra sitio net. Marcar el Weblog de seguridad Para mantenerse al día con nuestra cobertura experta sobre asuntos de seguridad. Además, síganos en LinkedIn (Seguridad de Microsoft) y x (@Msftsecurity) para las últimas noticias y actualizaciones sobre ciberseguridad.


1Costo promedio por violación de datos en los Estados Unidos 2006-2024Ani Petrosyan. 10 de octubre de 2024.



Related Articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Latest Articles