En el año pasado 2020, el Centro de denuncias de delitos en Internet (IC3) del FBI recibió 2,474 denuncias identificadas como ransomware con pérdidas ajustadas de más de 29 millones de dólares. Pese a que no se tiene un registro actual sobre el número de ataques de este tipo en México, el caso más reciente y de índole pública, es el de la Lotería Nacional cuyo ataque fue atribuido al grupo delincuencial Avaddon. Asimismo, se ha visto cada vez más una relación directa entre el robo de datos y configuraciones inseguras de Active Directory debido a su criticidad a la hora de escalar privilegios y acceder a una gran cantidad de datos, convirtiéndose en el blanco favorito de los ciber atacantes de ransomware.
Asimismo Windows Server Active Directory es el producto para la administración de grupos y usuarios de Microsoft, el cual permite que las organizaciones centralicen la gestión de las credenciales de inicio de sesión de los usuarios, configuren los ajustes en los servidores y las estaciones de trabajo, y gestionen otros aspectos de la seguridad de una organización, como su infraestructura de clave pública (PKI) y el control de acceso basado en roles (RBAC). Si un atacante obtiene acceso privilegiado a Active Directory, puede apropiarse de toda la infraestructura de TI de una organización.
Sin embargo respecto, Francisco Ramirez, Vicepresidente Tenable Latin America, dijo que la administración de Active Directory puede ser compleja y desafiante para los equipos de TI. Protegerla es igualmente complicado para los profesionales de la seguridad, lo que hace que muchas veces no puedan encontrar y reparar las fallas antes de que se conviertan en problemas que afecten al negocio.
Existen dos maneras en las que los grupos de ciberdelincuencia explotan Active Directory que pueden provocar drásticas interrupciones en la continuidad de los negocios:
1) La paralización del propio Active Directory. Al dañar la base de la TI de una organización, los atacantes pueden impedir que los usuarios y las aplicaciones inicien sesión en sus sistemas y accedan a los recursos que necesitan. Aunque esto puede parecer una táctica de ataque y huida, existen algunos procedimientos bien documentados —aunque combatidos de manera deficiente— para que los hackers persistan en el Active Directory de su víctima incluso después de una reconstrucción desde cero.
2) El uso de Active Directory como transporte para el malware destructivo. El único desafío en estos ataques es la distribución: lograr que este malware se instale en una cantidad suficientemente grande de puntos de conexión, a fin de que la recuperación a gran escala sea imposible. En este sentido, explotar las deficiencias de Active Directory es la única opción práctica que tienen los hackers para moverse lateralmente dentro de la infraestructura. En los últimos años, todos los ataques a gran escala en toda la infraestructura que paralizaron las capacidades de producción tuvieron como elemento central un exploit de Active Directory.
Estrategia para proteger el Active Directory
Las consecuencias de un ataque de ransomware pueden ser devastadoras. A decir de Francisco Ramirez los ataques de ransomware que utilizan Active Directory para propagarse o realizar un reconocimiento requieren encontrar una ruta de ataque, que es una mezcla de vulnerabilidades y fallos de configuración.
Seguir las prácticas recomendadas de seguridad de Microsoft es un buen punto de partida para proteger Active Directory y evitar que los hackers lo utilicen para propagar ransomware: 1) Reducción de la cantidad de usuarios que pertenecen a grupos privilegiados de Active Directory; 2) Restricción del uso de cuentas privilegiadas de AD; 3) Gestión de los dispositivos de usuarios finales mediante una cuenta local; 4) Encontrar y arreglar configuraciones erróneas de Active Directory en torno a atributos peligrosos como por ejemplo SIDhistory o primaryGroupID P5) Monitoreo de Active Directory en busca de actividad inusual, y 6) Implementación de un modelo de administración por niveles para Active Directory.
Desafortunadamente las herramientas listas para usar de Windows Server no ofrecen una forma de monitorear Active Directory en tiempo real, ni proporcionan la inteligencia de amenazas necesaria para automatizar las respuestas en un escenario de amenazas en constante cambio. Francisco Ramirez recomendó a las organizaciones el implementar soluciones de seguridad que les permitan encontrar y reparar debilidades en Active Directory antes de que los atacantes las exploten, así como detectar y responder a los ataques en tiempo real.