Los ataques de ransomware a empresas están aumentando tanto en frecuencia como en complejidad. Muchos expertos en seguridad creen que WannaCry y NotPetya son solo una muestra de lo que está por venir. Cada vez más, Active Directory (AD) está en el centro de los ciberataques, con wipers como MBR-ONI utilizando AD para maximizar el alcance del ataque y, en algunos casos, wipers como NotPetya derribando AD por completo. Esta serie de blogs explora historias reales de ataques de wiper, su impacto en AD y lo que puede hacer para que su organización esté más preparada para la próxima ola de ataques.
Cómo lidiar con un virus limpiador: Cuando NotPetya ataca
Ha pasado casi un año desde el estallido del ataque wiper NotPetya y, durante este tiempo, he tenido varias conversaciones con analistas de sistemas cuyas organizaciones fueron golpeadas por el malware wiper. Debido al hecho de que Semperis es una empresa de protección de servicios de directorio, la mayoría de mis conversaciones giran en torno a los servicios de directorio y el impacto de los ataques en el contexto de AD. En cada conversación que he tenido, hablamos de lo que tuvo lugar y del impacto en la organización en una visión post-mortem. Luego discutimos lo que se hizo para mitigar el impacto del ataque y las lecciones aprendidas, así que pensé que podría ser beneficioso para otros escuchar algunas de estas historias para estar más preparados para futuros ataques.
La primera historia que quiero compartir sobre NotPetya es la de un gran fabricante de Europa Occidental, con unos 10.000 empleados, cuyo Directorio Activo completo fue cifrado como resultado de NotPetya. Lo sorprendente de esta historia es que, desde el momento en que el wiper comenzó a propagarse, tardó menos de 10 minutos en cifrar todos los controladores de dominio (DC) y servidores de archivos (FS) de la empresa, y el cifrado se propagó globalmente a todos los sitios remotos.
Por desgracia, los servidores de copia de seguridad y recuperación también estaban cifrados y hubo que reconstruirlos desde cero. El ataque paralizó por completo la organización y, después de que los equipos de TI revisaran la evaluación inicial de los daños, se dieron cuenta de que este ataque no se parecía a nada que hubieran visto antes.
El proceso de restauración que siguió al ataque fue largo y complejo. En primer lugar, el equipo tuvo que tomar algunas decisiones críticas:
- ¿Qué es lo primero que hay que restaurar?
Para ello hay que determinar las aplicaciones críticas para la empresa y los componentes de infraestructura necesarios de los que dependen. - Para cada emplazamiento, ¿cuál es el número mínimo de DC que hay que restaurar?
Además, había que prestar especial atención a la restauración de los servidores que se encontraban en ubicaciones con poco ancho de banda.
El primer paso en el proceso de recuperación fue reconstruir los servidores de copia de seguridad y recuperación, seguido de la restauración de los demás servidores a partir de cintas, un proceso que duró varios días con ingenieros de Microsoft in situ para prestar asistencia.
Restaurar los DC cifrados era un proceso tedioso que debía ejecutarse desde cero. El equipo de TI comenzó por crear una nueva máquina virtual con un sistema operativo limpio, instalar el agente de recuperación, realizar una restauración del estado del sistema, limpiar la controladora de interfaz de red (NIC) virtual y resolver otros problemas relacionados con los controladores tras la restauración del estado del sistema.
Aunque el equipo siguió los protocolos de restauración adecuados, la restauración inicial de Active Directory falló debido a un problema de reversión del número de secuencia de actualización (USN) que impedía la replicación de AD. El problema con las reversiones de USN es que son muy difíciles de identificar y puede haber miles de ellas, sin que se registre ningún error.
Esperar lo inesperado en el proceso de recuperación
La clave de esta historia es que la recuperación de un entorno cifrado es un proceso increíblemente complejo, con muchas partes móviles a tener en cuenta.
Incluso cuando cree que está realmente preparado, es difícil predecir algunos de los problemas que podría encontrarse durante la restauración. He aquí algunas formas de proteger mejor a su organización de los efectos de un virus limpiador:
- Prepárese siempre para el peor de los casos - Aunque parezca improbable, debe estar preparado para una situación en la que todos sus servidores, incluidos los de copia de seguridad/recuperación, hayan desaparecido. Pon en marcha un procedimiento en el que la recuperación de los servidores de copia de seguridad/recuperación sea el primer paso.
- Mapee las aplicaciones de misión crítica y sus dependencias de infraestructura - Lo más probable es que sus aplicaciones de línea de negocio dependan de Active Directory, pero es importante saber qué otros componentes tienen que ser restaurados para que la aplicación funcione.
- Asegúrese de que dispone de un plan probado para restaurar su Active Directory - Disponer de una copia de seguridad es un gran primer paso, pero debe ser consciente de que la recuperación no es un proceso sencillo y las cosas pueden complicarse muy rápidamente. Microsoft ofrece un servicio de preparación para la recuperación de Active Directory llamado ADRES, que puede ayudarte a estar preparado para una situación desastrosa con tu AD.
Elimina el dolor de la recuperación de NotPetya
Aunque es fundamental tomar ciertas medidas para proteger su infraestructura contra los ataques de wiper, disponer de un sólido plan de Recuperación de Desastres es la única forma de minimizar realmente la complejidad del proceso de recuperación. La solución Active Directory Forest Recovery (ADFR) de Semperis automatiza completamente la orquestación del proceso de recuperación ante desastres de Active Directory y reduce drásticamente el tiempo de restauración. Al aprovechar la inteligencia interna, ADFR es capaz de tomar decisiones que solucionan diversos problemas que pueden surgir durante el proceso de recuperación de AD DR (por ejemplo, el uso de puntos de distribución para superar el problema del bajo ancho de banda de la red). Para obtener información adicional sobre la recuperación ante desastres de Active Directory, puede ver nuestro seminario web sobre automatización de AD DR y nuestro seminario web sobre consideraciones de copia de seguridad de AD.
Permanece atento al próximo blog de la serie, donde hablaré un poco más sobre el virus ONI y su efecto en Active Directory.
