O mais recente ataque de ransomware-as-a-service deixa o conhecido retalhista, Kmart, com interrupções de serviço e um Active Directory comprometido.
Depois de o ransomware Maze se ter "reformado" no mês passado, muitos dos seus afiliados passaram a usar o novo ransomware, o Egregor. Com o nome de um termo ocultista que significa a energia ou força colectiva de um grupo de indivíduos (apropriado, dado o modelo de afiliados do ransomware), o Egregor segue as pisadas do Maze, utilizando a encriptação, o roubo de dados e a extorsão como meios para garantir o pagamento do resgate.
De acordo com o relatório de ataquerelatório de ataque do Bleeping Computera nota de resgate verifica que o domínio Active Directory do Kmart foi comprometido como parte do ataque. Embora não tenham sido fornecidos detalhes específicos, podemos fazer algumas suposições com base em ataques semelhantes anteriores, onde o Maze, Ryuke Save the Queen comprometeram e utilizaram o Active Directory para propagar o payload do ransomware para o maior número possível de sistemas. Cada uma destas estirpes obteve acesso elevado ao Active Directory e efectuou alterações maliciosas específicas, o que significa que, algures ao longo do caminho, pelo menos uma conta com direitos administrativos para uma parte ou para a totalidade do Active Directory foi comprometida, e uma parte do Active Directory acaba por estar numa conta controlada por um agente de ameaça, estado inseguro.
Este facto é preocupante sob vários pontos de vista:
1. O Active Directory não deveria ter sido vulnerável- Todos sabemos que o Active Directory continua a ser o principal armazenamento central de identidade para uma grande parte das organizações actuais, mesmo para as que utilizam uma estratégia de identidade híbrida. O facto de o "domínio" ter sido comprometido também implica que o Active Directory continua a ser um elemento-chave da rede da Kmart. O Active Directory é muitas vezes o ponto de partida dos ataques de ransomware que se espalham rapidamente pela rede. Infelizmente, quando o Active Directory é comprometido, é praticamente um caminho livre para todos os sistemas ligados no ambiente. Uma vez que o Active Directory é tão fortemente explorado e, ao mesmo tempo, a espinha dorsal da organização, requer uma protecção extra. No mínimo, estamos a falar da monitorização e do alerta de alterações. Idealmente, também deve existir um meio através do qual as alterações a contas elevadas específicas, grupos e outros objectos sejam protegidas, invocando aprovações de fluxo de trabalho e/ou retrocessos automatizados.
2. O Kmart teve sorte- De acordo com todos os relatórios, parece que nem todas as operações do Kmart foram interrompidas. Isto significa provavelmente que o Active Directory foi comprometido mas não ficou indisponível, permitindo que todos os serviços dependentes do domínio em toda a floresta continuassem a funcionar. Mas houve casos em que as organizações não tiveram tanta sorte, como o Ataque NotPetya em 2018 na Maersk que deixou literalmente todos os controladoresde domínio inoperacionais, exceto um servidor offline que encontraram num escritório remoto no Gana. É negligente assumir que um ataque cibernético nunca derrubará o Active Directory; ter a capacidade de recuperá-lo facilmente - e, mais importante, rapidamente - é fundamental.
3. Retornar o Active Directory a um estado de segurança conhecido provavelmente não foi fácil- Em muitas organizações, alterações maliciosas no Active Directory talvez não passemdespercebidasmas certamente são permitidas por um período suficientemente longo para que o impacto malicioso seja sentido. Se não souber o que foi modificado no Active Directory, como pode saber o que precisa de ser restaurado ou revertido para corrigir quaisquer alterações maliciosas? Foram criadas novas contas de utilizador falsas? Alterações na associação ao grupo Admins. do Domínio? Que tal modificações nas Políticas de Grupo para conceder direitos de "Actuar como Sistema Operativo" aos controladores de domínio ou a cada estação de trabalho? A lista é interminável. Em suma, sem proteger o Active Directory, não é possível rectificar facilmente as alterações efectuadas, exigindo um esforço de recuperação que provavelmente não será tão simples como "recuperar o domínio para ontem ao meio-dia".
Egregor é um jogador relativamente novo na cenae esperamos ver o seu nome em mais cabeçalhos nos próximos meses. Já se sabe que se o Active Directory cair, o mesmo acontece com o resto da sua rede. Assim, o último ataque do ransomware Egregor ao Kmart deve ser um lembrete de que o Active Directory requer uma atenção especial na sua estratégia de cibersegurança. Proteja-o ferozmente, mantendo os agentes de ameaças afastados. Em segundo lugar, parta do princípio de que, mesmo que tenha implementado uma estratégia de defesa em profundidade apenas para o Active Directory, um dia haverá um ataque queiráultrapassar as defesas, exigindo que seja capaz de recuperar o Active Directory para o seu estado anterior ao ataque - quer seja uma única modificação, toda a floresta ou algo intermédio.
