Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Glosario de ciberseguridadCatálogo de ataques
Ataques de ransomware a Active Directory

Ataques de ransomware a Active Directory

Organizaciones de todo el mundo utilizan Active Directory (AD) como su servicio de identidad principal, lo que lo convierte en un objetivo principal para los ataques de ransomware. Este artículo explica cómo los adversarios explotan Active Directory durante los ataques de ransomware y proporciona estrategias y herramientas para defenderse contra esta amenaza moderna.

Las dos fases de un ataque de ransomware

Un error común acerca de los ataques de ransomware es que son rápidos: Alguien abre un archivo adjunto de correo electrónico infectado o inserta un dispositivo USB infectado, y en cuestión de minutos los datos a través de la red están cifrados y una demanda de rescate se muestra en todas las pantallas.

La realidad es bastante distinta. Los ataques de ransomware hoy en día tienden a ser bastante sofisticados y metódicos. Para cifrar la mayor cantidad de información sensible posible y así maximizar las posibilidades de recibir un alto pago, los atacantes proceden en dos fases:

  1. Encuentre un punto de entrada — El primer paso es obtener un punto de apoyo en la red de la organización víctima. Una estrategia común es comprometer las credenciales de Active Directory de un usuario utilizando tácticas como el phishing o la adivinación de contraseñas.
  2. Ampliar su alcance— Con solo una cuenta de usuario empresarial ordinaria, un adversario tiene acceso limitado a sistemas críticos y datos. En consecuencia, buscan vulnerabilidades en Active Directory que puedan explotar para ampliar sus derechos. Una táctica es agregar la cuenta que ya controlan a grupos de seguridad que tienen permisos más extensos; los grupos vacíos son un objetivo común porque probablemente no se están gestionando cuidadosamente y la adición de un nuevo miembro puede pasar desapercibida. Otra opción es comprometer otras cuentas de usuarios que ya tienen permisos de acceso privilegiado, por ejemplo, obteniendo credenciales de administrador en caché en el endpoint que ya controlan.

Una vez que los adversarios tienen el acceso que desean, ejecutan el ransomware para cifrar todos los datos a los que pueden llegar, lo que puede incluir contenido almacenado en la nube. En muchos casos, lo copian antes de cifrarlo para poder amenazar con divulgarlo como palanca adicional para que se les pague. A menudo también intentan cifrar o eliminar los datos de respaldo para que las víctimas tengan más probabilidades de cumplir con la demanda de rescate.

Contenido relacionado seleccionado:

Métodos de ataque de ransomware que explotan Active Directory

Aquí hay algunas formas en que los ciberdelincuentes han explotado Active Directory para llevar a cabo ataques de ransomware:

Vulnerar una red utilizando una cuenta de AD deshabilitada

En el ataque de 2021 a Colonial Pipeline, una banda conocida como DarkSide obtuvo acceso a la red a través de una cuenta de Active Directory deshabilitada. Comprometieron la cuenta utilizando una lista de contraseñas comunes o volcados de contraseñas vulneradas disponibles en la dark web. Las cuentas deshabilitadas son fruta de fácil alcance para los actores de amenazas porque su toma de control es menos probable que se note que el compromiso de una cuenta activa.

Propagación de ransomware utilizando Active Directory Group Policy

Group Policy es una característica poderosa de Active Directory que los administradores utilizan para mantener la seguridad y la productividad de los usuarios. Los actores de ransomware pueden abusar de Group Policy para difundir sus cargas maliciosas.

Por ejemplo, el ransomware Ryuk a menudo se distribuye a través de objetos de directiva de grupo (GPOs) que los adversarios modifican o crean. Específicamente, insertan Ryuk en el script de inicio de sesión de Active Directory, lo que infecta a cualquiera que inicie sesión en el servidor de Active Directory.

Propagación de ransomware a través de la compartición SYSVOL de Active Directory

Otra forma en que los grupos de ransomware explotan Active Directory es utilizando la compartición SYSVOL. SYSVOL almacena archivos públicos del dominio y es legible para todos los usuarios autenticados. Una vez que los adversarios tienen derechos de acceso privilegiado, modifican SYSVOL para programar tareas que infecten dispositivos y los monitoreen.

Obtener acceso explotando una vulnerabilidad de SharePoint

Los actores de ransomware y otros adversarios también pueden obtener un punto de apoyo en un entorno de AD explotando vulnerabilidades sin parchear. Por ejemplo, en 2019, los hackers explotaron una vulnerabilidad en Microsoft SharePoint en las Naciones Unidas; aunque Microsoft había lanzado el parche para la vulnerabilidad, la ONU no había actualizado el software de manera oportuna. Aunque este ataque no involucró la liberación de ransomware, los datos personales de casi 4,000 miembros del personal de la ONU fueron comprometidos.

Cómo defenderse de los ataques de ransomware en Active Directory

Planear simplemente pagar el rescate no es una estrategia viable contra el ransomware. No hay garantía de que realmente obtendrás la clave de descifrado, y podrías ser más propenso a ser objetivo de nuevo. Sin embargo, existen estrategias efectivas para reducir el riesgo de sufrir una infección por ransomware y minimizar el daño si ocurre una. Aquí están las mejores prácticas más importantes.

Contenido relacionado seleccionado:

Limpie las cuentas y grupos de AD

Asegúrese de que cada usuario tenga solo los permisos necesarios para realizar sus funciones laborales. Elimine cualquier cuenta de AD y grupos de seguridad que ya no sean necesarios, y asegúrese de que cada grupo restante tenga un propietario designado (o propietarios) que deba revisar regularmente los permisos y la membresía del grupo.

Minimice las cuentas privilegiadas

Los actores maliciosos, incluidas las bandas de ransomware, pueden causar el mayor daño cuando comprometen una cuenta con altos privilegios. Por lo tanto, es esencial limitar estrictamente la membresía en todos los grupos privilegiados, especialmente en aquellos con gran poder como Enterprise Admins, Domain Admins y Schema Admins.

Incluso mejor, adopte un moderno Privileged Access Management (PAM) que le permite reemplazar las cuentas privilegiadas permanentes con acceso justo a tiempo y justo lo necesario.

Actualice el software con prontitud

Las empresas de software lanzan parches con frecuencia para solucionar vulnerabilidades en sus soluciones y proporcionan versiones actualizadas que mejoran la seguridad de manera regular. Asegúrese de que su sistema operativo Windows Server y otros sistemas de software estén siempre actualizados con los últimos parches y nunca ejecute software que haya alcanzado el fin de su vida útil y que ya no reciba actualizaciones de seguridad.

Implemente Zero Trust y autenticación multifactor (MFA)

Un modelo de seguridad Zero Trust junto con MFA ayuda a frustrar a los adversarios, tanto cuando intentan ingresar a su red como cuando intentan moverse lateralmente y elevar sus permisos. MFA hace que las contraseñas robadas sean inútiles, y Zero Trust significa que incluso después de que un usuario se haya autenticado, las actividades sospechosas o riesgosas se encontrarán con demandas adicionales de autenticación.

Invierta en detección y respuesta avanzadas de amenazas

Como se explicó anteriormente, los actores del ransomware suelen pasar tiempo moviéndose a través de la red en busca de credenciales más poderosas y activos valiosos. Es esencial monitorear constantemente el entorno en busca de cualquier actividad sospechosa. Además, la tecnología moderna de distracción lleva a los atacantes a revelarse utilizando técnicas como honeypots.

Eduque a todos los usuarios

Uno de los enfoques más efectivos para proteger Active Directory es educar a todos los usuarios de la organización sobre las tácticas que utilizan los adversarios para plantar ransomware, como correos electrónicos de phishing con enlaces o adjuntos maliciosos. Realice sesiones de capacitación frecuentes y evalúe su efectividad con pruebas como correos electrónicos similares al phishing.

Prepárese para un evento de ransomware

Tener playbooks para responder a ataques de ransomware ayudará a garantizar una respuesta rápida y efectiva. Algunas soluciones incluso pueden tomar automáticamente acciones específicas cuando se detecta una amenaza conocida. Además, asegúrese de hacer una copia de seguridad de Active Directory, almacenar los datos fuera del alcance del ransomware y practicar el proceso de recuperación de manera regular.

Asegurar Active Directory con Netwrix Directory Manager

Implementar las mejores prácticas de seguridad en Active Directory es una tarea compleja y que requiere mucho tiempo. Netwrix Directory Manager es una solución integral de gestión de identidad y acceso que simplifica y automatiza este trabajo.


Por ejemplo, con Netwrix Directory Manager puedes:

  • Mantenga la membresía de grupo de seguridad de AD actualizada automáticamente
  • Asegúrese de que cada grupo tenga un propietario e incluso asigne varios propietarios
  • Permita a los usuarios restablecer de forma segura sus propias contraseñas y desbloquear sus cuentas
  • Implemente la autenticación multifactor
  • Implemente los requisitos de complejidad de contraseña
  • Informe sobre la salud del directorio

Preguntas frecuentes

Compartir en

Ver ataques de ciberseguridad relacionados

Abuso de permisos de aplicaciones Entra ID – Cómo funciona y estrategias de defensa

Modificación de AdminSDHolder – Cómo funciona y estrategias de defensa

Ataque AS-REP Roasting - Cómo funciona y estrategias de defensa

Ataque Hafnium - Cómo funciona y estrategias de defensa

Ataques DCSync explicados: Amenaza a la seguridad de Active Directory

Ataque de Pass the Hash

Entendiendo los ataques de Golden Ticket

Ataque de Cuentas de Servicio Administradas por Grupo

Ataque DCShadow – Cómo funciona, ejemplos del mundo real y estrategias de defensa

ChatGPT Prompt Injection: Comprensión de riesgos, ejemplos y prevención

Ataque de extracción de contraseñas de NTDS.dit

Ataque de Kerberoasting – Cómo funciona y estrategias de defensa

Explicación del ataque Pass-the-Ticket: Riesgos, ejemplos y estrategias de defensa

Ataque de Password Spraying

Ataque de extracción de contraseñas en texto plano

Explicación de la vulnerabilidad Zerologon: Riesgos, Explotaciones y Mitigación

Desbloqueando Active Directory con el ataque Skeleton Key

Ataque de Silver Ticket

Movimiento lateral: Qué es, cómo funciona y prevenciones

Ataques de Hombre en el Medio (MITM): Qué son y cómo prevenirlos

¿Por qué es PowerShell tan popular entre los atacantes?

4 ataques a cuentas de servicio y cómo protegerse contra ellos

Cómo prevenir que los ataques de malware afecten a su negocio

¿Qué es Credential Stuffing?

Comprometiendo SQL Server con PowerUpSQL

¿Qué son los ataques de Mousejacking y cómo defenderse de ellos?

Robo de credenciales con un Proveedor de Soporte de Seguridad (SSP)

Ataques de Rainbow Table: Cómo funcionan y cómo defenderse de ellos

Una mirada exhaustiva a los ataques de contraseñas y cómo detenerlos

Reconocimiento LDAP

Eludir MFA con el ataque Pass-the-Cookie

Ataque Golden SAML