Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Glossário de cibersegurançaCatálogo de ataques
Ataques de ransomware ao Active Directory

Ataques de ransomware ao Active Directory

Organizações em todo o mundo usam o Active Directory (AD) como seu principal serviço de identidade, o que o torna um alvo principal para ataques de ransomware. Este artigo explica como os adversários exploram o Active Directory durante ataques de ransomware e fornece estratégias e ferramentas para se defender contra essa ameaça moderna.

As duas fases de um ataque de ransomware

Um equívoco comum sobre ataques de ransomware é que eles são rápidos: Alguém abre um anexo de e-mail infectado ou insere um dispositivo USB infectado, e em minutos os dados em toda a rede são criptografados e uma exigência de resgate é exibida em todas as telas.

A realidade é bem diferente. Os ataques de ransomware hoje tendem a ser bastante sofisticados e metódicos. Para criptografar o máximo de informações sensíveis possível e, assim, maximizar as chances de receber um alto pagamento, os atacantes procedem em duas fases:

  1. Encontre um ponto de entrada — O primeiro passo é obter um ponto de apoio na rede da organização vítima. Uma estratégia comum é comprometer as credenciais do Active Directory de um usuário usando táticas como phishing ou adivinhação de senha.
  2. Ampliar o alcance — Com apenas uma conta comum de usuário empresarial, um adversário tem acesso limitado a sistemas críticos e dados. Consequentemente, eles procuram por vulnerabilidades no Active Directory que possam explorar para expandir seus direitos. Uma tática é adicionar a conta que já controlam a grupos de segurança que possuem permissões mais extensas; grupos vazios são um alvo comum porque provavelmente não estão sendo gerenciados cuidadosamente e a adição de um novo membro pode passar despercebida. Outra opção é comprometer contas de outros usuários que já possuem permissões de acesso privilegiado, por exemplo, obtendo credenciais de administrador armazenadas no endpoint que já controlam.

Uma vez que os adversários obtêm o acesso desejado, eles executam o ransomware para criptografar todos os dados que conseguem alcançar, o que pode incluir conteúdo armazenado na nuvem. Em muitos casos, eles copiam os dados antes da criptografia para poderem ameaçar divulgá-los como uma alavanca adicional para serem pagos. Eles frequentemente também tentam criptografar ou excluir dados de backup para que as vítimas estejam mais propensas a cumprir com a exigência de resgate.

Conteúdo relacionado selecionado:

Métodos de ataque de ransomware que exploram o Active Directory

Aqui estão algumas maneiras que os cibercriminosos exploraram o Active Directory para realizar ataques de ransomware:

Violação de uma rede usando uma conta AD desativada

No ataque de 2021 à Colonial Pipeline, uma gangue conhecida como DarkSide obteve acesso à rede através de uma conta desativada do Active Directory. Eles comprometeram a conta usando ou uma lista de senhas comuns ou dumps de senhas violadas disponíveis na dark web. Contas desativadas são frutas baixas para atores de ameaças porque a tomada de controle delas é menos provável de ser notada do que o comprometimento de uma conta ativa.

Disseminação de ransomware usando Active Directory Group Policy

Group Policy é um recurso poderoso do Active Directory que os administradores usam para manter a segurança e a produtividade dos usuários. Atores de ransomware podem abusar do Group Policy para espalhar seus payloads.

Por exemplo, o ransomware Ryuk é frequentemente distribuído através de objetos de Diretiva de Grupo (GPOs) que os adversários modificam ou criam. Especificamente, eles inserem o Ryuk no script de logon do Active Directory, o que infecta qualquer pessoa que faça logon no servidor do Active Directory.

Disseminação de ransomware via compartilhamento SYSVOL do Active Directory

Outra forma que as gangues de ransomware exploram o Active Directory é usar o compartilhamento SYSVOL. O SYSVOL armazena arquivos públicos do domínio e é legível por todos os usuários autenticados. Uma vez que os adversários têm direitos de acesso privilegiado, eles alteram o SYSVOL para agendar tarefas para infectar dispositivos e monitorá-los.

Ganhando acesso ao explorar uma vulnerabilidade do SharePoint

Atores de ransomware e outros adversários também podem obter acesso em um ambiente AD explorando vulnerabilidades não corrigidas. Por exemplo, em 2019, hackers exploraram uma vulnerabilidade no Microsoft SharePoint nas Nações Unidas; mesmo que a Microsoft tenha lançado a correção para a vulnerabilidade, a ONU não atualizou o software de maneira oportuna. Embora este ataque não tenha envolvido o lançamento de ransomware, os dados pessoais de quase 4.000 funcionários da ONU foram comprometidos.

Como se defender de ataques de ransomware no Active Directory

Planejar apenas pagar o resgate não é uma estratégia viável contra ransomware. Não há garantia de que você realmente receberá a chave de descriptografia, e você pode ser mais propenso a ser alvo novamente. No entanto, existem estratégias eficazes para reduzir o risco de sofrer uma infecção por ransomware e minimizar os danos caso ocorra. Aqui estão as melhores práticas recomendadas.

Conteúdo relacionado selecionado:

Limpe as contas e grupos do AD

Garanta que cada usuário tenha apenas as permissões necessárias para executar suas funções de trabalho. Remova quaisquer contas AD e grupos de segurança que não sejam mais necessários e assegure que cada grupo restante tenha um proprietário designado (ou proprietários) que deve revisar regularmente as permissões e a composição do grupo.

Minimize contas privilegiadas

Agentes maliciosos, incluindo gangues de ransomware, podem causar mais danos quando comprometem uma conta altamente privilegiada. Portanto, é essencial limitar estritamente a participação em todos os grupos privilegiados, especialmente aqueles com poderes elevados como Enterprise Admins, Domain Admins e Schema Admins.

Ainda melhor, adote um moderno Privileged Access Management (PAM) que permite substituir contas privilegiadas permanentes por acesso pontual e na medida certa.

Atualize o software prontamente

As empresas de software lançam frequentemente correções para tratar vulnerabilidades em suas soluções e regularmente fornecem versões atualizadas que melhoram a segurança. Certifique-se de que o sistema operacional do seu Windows Server e outros sistemas de software estejam sempre atualizados com as correções, e nunca execute softwares que chegaram ao fim da vida útil e não recebem mais atualizações de segurança.

Implemente Zero Trust e autenticação multifator (MFA)

Um modelo de segurança Zero Trust acoplado com MFA ajuda a frustrar adversários, tanto quando estão tentando entrar na sua rede quanto quando tentam se mover lateralmente e elevar suas permissões. MFA torna senhas roubadas inúteis, e Zero Trust significa que mesmo após um usuário ter se autenticado, atividades suspeitas ou arriscadas serão encontradas com demandas adicionais de autenticação.

Invista em detecção e resposta avançadas a ameaças

Como explicado acima, os agentes de ransomware geralmente passam tempo se movendo pela rede em busca de credenciais mais poderosas e ativos valiosos. É essencial monitorar constantemente o ambiente em busca de qualquer atividade suspeita. Além disso, a tecnologia moderna de distração leva os atacantes a se revelarem usando técnicas como honeypots.

Eduque todos os usuários

Uma das abordagens mais eficazes para proteger o Active Directory é educar todos os usuários da organização sobre as táticas que os adversários usam para plantar ransomware, como e-mails de phishing com links maliciosos ou anexos. Realize sessões de treinamento frequentes e avalie a eficácia delas com testes como e-mails semelhantes aos de phishing.

Prepare-se para um evento de ransomware

Ter playbooks para responder a ataques de ransomware ajudará a garantir uma resposta rápida e eficaz. Algumas soluções podem até tomar automaticamente ações específicas quando uma ameaça conhecida é detectada. Além disso, certifique-se de fazer backup do Active Directory, armazenar os dados fora do alcance do ransomware e praticar o processo de recuperação regularmente.

Proteger o Active Directory com o Netwrix Directory Manager

Implementar as melhores práticas de segurança para o Active Directory é uma tarefa complexa e demorada. O Netwrix Directory Manager é uma solução completa de gestão de identidade e acesso que simplifica e automatiza esse trabalho. Por exemplo, com o Netwrix Directory Manager você pode:

  • Mantenha a associação ao grupo de segurança do AD atualizada automaticamente
  • Certifique-se de que cada grupo tenha um proprietário e até mesmo atribua vários proprietários
  • Permita que os usuários redefinam suas próprias senhas e desbloqueiem suas contas de forma segura
  • Implemente a autenticação multifator
  • Implemente requisitos de complexidade de senha
  • Relatório sobre a saúde do diretório

FAQ

Compartilhar em

Ver ataques de cibersegurança relacionados

Abuso de Permissões de Aplicativos Entra ID – Como Funciona e Estratégias de Defesa

Modificação do AdminSDHolder – Como Funciona e Estratégias de Defesa

Ataque AS-REP Roasting - Como Funciona e Estratégias de Defesa

Ataque Hafnium - Como Funciona e Estratégias de Defesa

Ataques DCSync Explicados: Ameaça à Segurança do Active Directory

Ataque Pass the Hash

Entendendo ataques Golden Ticket

Ataque a Contas de Serviço Gerenciadas por Grupo

Ataque DCShadow – Como Funciona, Exemplos Reais e Estratégias de Defesa

Injeção de Prompt do ChatGPT: Entendendo Riscos, Exemplos e Prevenção

Ataque de Extração de Senha NTDS.dit

Ataque de Kerberoasting – Como Funciona e Estratégias de Defesa

Ataque Pass-the-Ticket Explicado: Riscos, Exemplos e Estratégias de Defesa

Ataque de Password Spraying

Ataque de Extração de Senha em Texto Simples

Vulnerabilidade Zerologon Explicada: Riscos, Explorações e Mitigação

Desbloqueando o Active Directory com o Ataque Skeleton Key

Ataque Silver Ticket

Movimento Lateral: O que é, Como Funciona e Prevenções

Ataques Man-in-the-Middle (MITM): O que São & Como Preveni-los

Por que o PowerShell é tão popular entre os atacantes?

4 ataques a contas de serviço e como se proteger contra eles

Como Prevenir que Ataques de Malware Afetem o Seu Negócio

O que é Credential Stuffing?

Comprometendo o SQL Server com PowerUpSQL

O que são ataques de Mousejacking e como se defender contra eles

Roubando Credenciais com um Provedor de Suporte de Segurança (SSP)

Ataques de Rainbow Table: Como Funcionam e Como se Defender Contra Eles

Um Olhar Abrangente sobre Ataques de Senha e Como Impedi-los

Reconhecimento LDAP

Bypassando MFA com o ataque Pass-the-Cookie

Ataque Golden SAML