Недавние атаки программ-вымогателей на Marks & Spencer (M&S) и Co-op, две крупнейшие розничные сети Великобритании, обнаружили растущую и опасную тенденцию: киберпреступные группировки нацеливаются на инфраструктуру идентификации, особенно Active Directory (AD), чтобы быстро скомпрометировать целые среды.
Эти атаки, приписываемые группе Scattered Spider, нарушили работу важных служб, блокировали доступ пользователей и заставили прибегнуть к ручным обходным методам в широком масштабе.
Сообщается, что системы Co-op были недоступны в течение нескольких дней, что повлияло как на внутреннюю коммуникацию, так и на работу с клиентами. M&S столкнулась со взломом основной инфраструктуры Windows, включая кражу файла NTDS.dit, в котором хранятся хешированные учетные данные для всего домена.
Для ИТ-специалистов и служб безопасности эти инциденты служат примером того, как действуют современные программы- вымогателей, а также предупреждение о том, что может произойти, если не обеспечить безопасность AD.
Как современные программы-вымогатели используют личные данные как оружие Атака на M&S прошла по знакомой и очень эффективной схеме. Проникнув в сеть, злоумышленники обнаружили и украли файл NTDS.dit – базу данных, содержащую все учетные данные пользователей домена. Используя методы офлайн-взлома, они превратили эти хэши в пригодные для использования пароли, что дало им неограниченный доступ к основным системам.
В обоих случаях злоумышленники быстро повысили свои привилегии и перемещались по сети, используя легитимные учетные записи и инструменты.
В Co-op, хотя полные технические детали остаются неизвестными, последствия были настолько серьезны, что нарушили внутренние рабочие процессы, платежные системы и работу магазинов. В обоих случаях злоумышленники быстро повысили свои привилегии и перемещались по сети, используя легитимные аккаунты и инструменты, что сводило вероятность обнаружения к минимуму.
Эти случаи иллюстрируют общие слабые места, которые используют злоумышленники:
- Слабые пароли или повторно используемые учетные данные, которые легко взломаны в автономном режиме
- Отсутствие многофакторной аутентификации (MFA), благодаря чему для получения доступа достаточно украденных паролей
- Чрезмерные привилегии, при которых даже сломанные учетные записи пользователей могут выполнять задания на уровне администратора
- Отсутствие мониторинга в режиме реального времени, что позволяет злоумышленникам свободно перемещаться, не вызывая тревоги
Почему киберпреступники выбирают Active Directory для атак с использованием приложений?
Active Directory – это центральная нервная система, обеспечивающая доступ к корпоративным сетям. Она управляет идентификацией, аутентификацией, контролем доступа и правами пользователей в различных системах. Получив контроль над AD, злоумышленники получают ключи от королевства — возможность манипулировать доступом, подделывать пользователей и отключать средства защиты в сети.
Когда злоумышленники получают доступ к AD, они могут манипулировать привилегиями, повышать права и перемещаться по сети – часто оставаясь незамеченными до тех пор, пока не будет причинен вред.
Недавняя волна вымогательств выкупа в апреле 2025 года, включая громкие атаки на британские розничные сети, отражает явную уязвимость: недостаточная защита AD. Многие организации по-прежнему не имеют надежных планов безопасности и восстановления AD, что делает их уязвимыми для разрушительных взломов.
Чтобы избежать такой судьбы, службы безопасности должны принять проактивные меры для защиты инфраструктуры AD.
Как защитить Active Directory от программ-вымогателей в 2025 году
Вот четыре ключевых шага, которые могут осуществить организации:
1. Избегайте добавления пользователей домена в локальные группы администраторов.
Используйте принцип минимальных привилегий и устраните конфигурации с чрезмерными правами, которые предоставляют пользователям домена ненужные права локального администратора – один из основных факторов, способствующих латеральному перемещению.
2. Усильте RDP с помощью средств контроля привилегированного доступа
Протокол удаленного рабочего стола (RDP) по-прежнему остается распространенной точкой входа. Применение многофакторной аутентификации и контроля доступа с помощью решения для привилегированного доступа имеет важное значение для предотвращения атак методом перебора и подбора учетных данных.
3. Используйте Active Directory бриджинг между платформами
Для гибридных сред, включающих Windows, Linux и Unix, Active Directory Bridging обеспечивает единое управление идентификацией, позволяя применять принцип минимальных привилегий во всех системах.
4. Выйдите за пределы хранения данных — введите контроль доступа в режиме реального времени
Сохранение учетных данных – важный первый шаг. Но чтобы действительно остановить атаки, подобные произошедшим в M&S и Co-op, организациям необходимо пойти дальше.
Прервите цепочку атак с помощью надежного поставщика PAM
Слом M&S и Co-op является доказательством того, что инфраструктура идентификации в настоящее время является главной целью злоумышленников. Группы разработчиков приложений-требователей становятся все более быстрыми, скрытыми и целенаправленными, и Active Directory почти всегда являются частью их плана.
Внедрение эффективных средств безопасности Active Directory и контроля привилегированного доступа может быть сложной и ресурсоемкой задачей, особенно для небольших ИТ-команд, работающих на грани возможностей. Сотрудничество с надежным поставщиком PAM, таким как Delinea, поможет вам ускорить реализацию инициатив в области безопасности и снизить риски.
Privilege Control for Servers (PCS) от Delinea является мощным сочетанием Active Directory бриджинг и средства обеспечения привилегированного доступа, помогающего организациям защитить свою наиболее важную инфраструктуру в средах Windows, Linux и Unix.
PCS обеспечивает централизованное управление идентификацией с помощью усовершенствованного моста AD, предоставляя в режиме реального времени информацию о топологии сайтов, контроллерах домена и действиях пользователей. Это позволяет обеспечить единые политики доступа и более глубокий анализ на уровне сервера.
Кроме видимости, PCS обеспечивает контроль доступа, необходимый для предотвращения современных угроз. С PCS вы можете:
- Применять MFA при каждом входе на сервер
- Предотвращать несанкционированное перемещение и повышение привилегий
- Контролировать доступ и повышение привилегий независимо от Active Directory, исключая возможность злоумышленников использовать встроенные привилегии AD
С помощью PCS можно применять принцип минимальных привилегий, отслеживать сеансы с привилегированными правами в режиме реального времени и прерывать цепочку атак программ-вымогателей до их начала.
Для дальнейшего усиления безопасности Active Directory решение Delinea Continuous Infrastructure Discovery (CID) для Active Directory обеспечивает важный третий уровень защиты. Оно позволяет организациям постоянно отслеживать возникающие риски, такие как новые или скрытые учетные записи с привилегированными правами, которые могут обойти средства контроля PAM.
Рекомендуемая стратегия из трех шагов:
1. Защитите учетные записи администраторов домена с помощью платформы Delinea
2. Защитите серверы Active Directory с помощью Privilege Control for Servers (PCS)
3. Отслеживайте новых администраторов домена и теневых администраторов, особенно тех, кто пытается обойти PAM, с помощью CID для Active Directory
Этот многоуровневый подход к защите обеспечивает комплексную защиту от блокирования учетных данных до контроля доступа в режиме реального времени и выявления подозрительного повышения привилегий до того, как это приведет к нарушению безопасности.
Источник: Protecting Active Directory from ransomware: What IT teams can learn from the M&S and Co-op attacks
