Los informes destacan los controladores de dominio como objetivos principales de ransomware
Un informe reciente de Microsoft refuerza las advertencias sobre el papel crítico que juegan los controladores de dominio Active Directory (AD) en los ataques de ransomware a gran escala, alineándose con los avisos del gobierno de los Estados Unidos sobre la persistente amenaza del compromiso de AD.
En una publicación de blog, Alon Rosental, Director de Gestión de Productos de Microsoft para la Seguridad de Puntos, detalló cómo los atacantes explotan los controladores de dominio para intensificar los privilegios y propagar ransomware, lo que permite una interrupción generalizada de la red. Los hallazgos reflejan un informe conjunto (PDF) entre la Agencia de Seguridad Nacional y el gobierno australiano publicado a fines de 2024, que calificó la explotación del controlador de dominio, una verdadera preocupación para las empresas.
«Active Directory puede ser mal utilizado por los actores maliciosos para establecer la persistencia en las organizaciones», decía el informe. «Algunas técnicas de persistencia permiten a los actores maliciosos iniciar sesión en organizaciones de forma remota, incluso sin pasar por alto los controles de autenticación multifactor (MFA)».
Microsoft y la NSA enfatizan que los controladores de dominio sirven como uno de los atacantes para los atacantes que buscan escalar las operaciones de ransomware. Los controladores de dominio son responsables de autenticar a los usuarios, administrar la política de grupos y mantener la base de datos de anuncios, haciéndolos objetivos únicos poderosos.
Los datos internos de Microsoft muestran que más del 78% de los ataques de ransomware operados por humanos involucran violaciones del controlador de dominio, con el 35% de los incidentes que usan el controlador de dominio como sistema principal para distribuir cargas de ransomware.
La compañía contó un incidente reciente en el que los atacantes apuntaron a un pequeño fabricante con ransomware Akira. Después de asegurar las credenciales de administración de dominios, utilizaron el protocolo de escritorio remoto (RDP) para acceder al controlador de dominio, iniciando el reconocimiento, la manipulación de políticas y la escalada de privilegios.
Sin embargo, el defensor de Microsoft para la interrupción del ataque automático de Endpoint detectó la cadena de ataque en tiempo real. Por rosental:
«To address this challenge, Defender for Endpoint introduced contain high value assets (HVA), an expansion of our contain device capability designed to automatically contain HVAs like domain controllers in a granular manner. This feature builds on Defender for Endpoint’s capability to classify device roles and criticality levels to deliver a custom, role-based containment policy, meaning that if a sensitive device, such a domain controller, is compromised, it is immediately contained in less than three Minutos, evitando que el ciberactacador se mueva lateralmente e implemente ransomware, al mismo tiempo que mantiene la funcionalidad operativa del dispositivo «.
La NSA recomienda que las organizaciones implementen modelos administrativos escalonados, apliquen principios de menor privilegio y realicen evaluaciones de higiene publicitaria de rutina, incluidos los grupos privilegiados y los comportamientos de la cuenta de servicio de monitoreo.