Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware
Maritza Marie Dubec
Gerente sênior de marketing de conteúdo
Illumio Editorial
11 de dezembro de 2025
23 minutos. ler

Além dos Portões: Zero Trust e a Defesa do Active Directory

Quando a Marks & Spencer parou de funcionar em abril passado, não foi apenas mais uma interrupção no fornecimento de energia. A varejista britânica desativou seus serviços online para conter um ataque de ransomware direcionado à sua infraestrutura de identidade principal.

Os pesquisadores agora relacionam o incidente ao Scattered Spider, um grupo informal de atacantes baseados no Reino Unido e nos EUA, alguns com apenas 16 anos de idade. O grupo utilizou o DragonForce, um serviço afiliado de ransomware que facilita os ciberataques, bastando alugar malware e ferramentas de extorsão.

Para piorar ainda mais a situação, a DragonForce chegou ao ponto de enviar um e-mail diretamente ao CEO da M&S, Stuart Machin, vangloriando-se da violação de dados e exigindo pagamento.

O que tornou esse incidente notável não foi o motivo, mas a precisão. Em vez de se concentrarem nos sistemas dos usuários finais, os invasores avançaram pela rede em direção ao controlador de domínio — o sistema que governa a identidade e a confiança em toda a empresa.

Isso reflete uma tendência mais ampla: grupos de ransomware estão cada vez mais visando a infraestrutura de identidade para acelerar seus ataques. Compreender como essa mudança se desenrolou — e como ela pode ser interrompida — mostra por que a identidade se tornou o ponto central na defesa moderna contra ransomware.

Número de ataques da DragonForce por país, de acordo com Analistas do GROUP-IB. DragonForce é um programa de afiliados de ransomware como serviço que frequentemente personaliza ataques.

Quando a essência da identidade está insegura

Os investigadores confirmaram que os atacantes da M&S extraíram o arquivoNTDS.dit — a joia da coroa do Microsoft Active Directory.  

O Active Directory é executado em controladores de domínio — os servidores que armazenam e aplicam todo o sistema de identidade. Em termos simples, eles roubaram o banco de dados do controlador de domínio, o sistema que decide quem dentro de uma empresa é confiável, a que eles têm permissão para acessar e como todos os outros sistemas verificam a identidade.  

O roubo foi o equivalente digital a sair de um banco, não apenas com o conteúdo do cofre, mas também com as chaves, as plantas e a autoridade para imprimir dinheiro novo à vontade.  

O ataque expôs uma realidade que as organizações podem não querer admitir publicamente: os atacantes sabem que comprometer um controlador de domínio é o caminho mais rápido e confiável para invadir toda uma empresa.

O ataque à M&S também mostra como os agentes de ameaças modernos costumam pensar. Uma vez dentro de uma rede, eles não permanecem nas máquinas dos usuários finais nem procuram servidores isolados para criptografar. Eles costumam se concentrar intensamente em encontrar um caminho até o controlador de domínio.

Isso ocorre porque o Active Directory é o sistema que mantém tudo organizado — contas de usuário, contas de serviço, permissões, tickets de autenticação e as relações de confiança que vinculam grandes ambientes corporativos. É um caminho que uma abordagem de Confiança Zero teria bloqueado.

“Se você controla o controlador de domínio, você controla a infraestrutura de identidade da organização”, disse Michael Adjei, diretor de engenharia de sistemas da Illumio. “Você pode se conceder o que chamamos de permissões divinas.” para controlar todos os sistemas que confiam nele.

Essa constatação corrobora os alertas da CISA.

“Se um invasor conseguir acessar o controlador de domínio, ele não obterá acesso automaticamente. Eles herdam toda a identidade da organização”, disse Adjei. “Contas, permissões, tokens, credenciais de serviço: tudo flui do Active Directory.”  

Painel do Gerenciador de Servidores do Windows Server 2012 mostrando três funções: servidor de diretório AD, DNS e serviços de arquivos.

A violação de dados da Change Healthcare: uma brecha que ninguém conseguiu impedir.

Algo semelhante aconteceu na violação de dados da Change Healthcare, divulgada em fevereiro de 2024, um dos maiores incidentes cibernéticos na área da saúde na história dos EUA.

Os atacantes, que se acredita serem afiliados da ALPHV Blackcat , obtiveram acesso inicial por meio de um servidor remoto que não possuía autenticação multifatorial. Em seguida, eles se movimentaram lateralmente pelo ambiente, escalaram seus privilégios e finalmente alcançaram sistemas vinculados à infraestrutura de identidade central da empresa.

Os resultados foram catastróficos: semanas de interrupções, bilhões em prejuízos, desorganização em farmácias em todo o país e exposição de dados que afetou quase 200 milhões de pessoas.

O CEO do UnitedHealth Group, Andrew Witty, pagou o resgate, estimado em cerca de 22 milhões de dólares em Bitcoin.  

Mas o pagamento não recuperou os dados. Witty confirmou que a Change Healthcare não recuperou nada — um resultado comum em casos de ransomware e um dos principais motivos pelos quais especialistas alertam contra qualquer pagamento.  

O Departamento de Estado dos EUA está oferecendo US$ 15 milhões por informações que ajudem a identificar ou localizar os líderes por trás da ALPHV/BlackCat.

Como a violação se acelera: caminho até o controlador de domínio

A violação demonstra o custo real de uma falha na camada de identidade combinada com a falta de controles de Confiança Zero: uma brecha, um ataque lateral rápido e uma interrupção em todo o país que nenhum resgate pode reverter.

Uma vez dentro do sistema, os agentes maliciosos não precisam atacar todos os sistemas — eles só precisam de um caminho leste-oeste de menor resistência e sem controles.  

Sem nada para conter a violação, eles se movem lateralmente em direção ao controlador de domínio, assumem o controle dos principais sistemas de identidade da vítima e transformam um único ponto de apoio em uma invasão completa.

Adjei explicou que a maioria das violações de controladores de domínio começa com algo pequeno, como um sistema sem patches, um controle de identidade mal configurado ou uma conta de serviço antiga com privilégios excessivos. Essas brechas oferecem aos atacantes uma posição discreta e a oportunidade de mapear o ambiente por dentro.

A partir daí, o reconhecimento parece comum: pesquisas de grupo, verificações de confiança de domínio, consultas Kerberos e enumeração de serviços. Nenhum deles pode acionar alarmes por si só. Mas, em conjunto, essas etapas revelam o alvo mais importante da rede: o controlador de domínio e as identidades que podem acessá-lo.

“O perigo é que muitas organizações presumem que seu controlador de domínio está seguro porque está protegido por monitoramento ou isolamento físico”, disse Adjei. “Mas os atacantes raramente atacam diretamente.” Eles seguem qualquer caminho interno que esteja aberto — uma credencial fraca, um sistema acessível ou uma rede horizontal leste-oeste que nunca bloqueia seu movimento.”  

O padrão observado nas violações de segurança da M&S e da Change Healthcare deixa o ponto claro: quando os invasores conseguem acessar o Active Directory, a escalada de riscos é inevitável.

“Você precisa de visibilidade baseada em grafos, não apenas em registros”, disse Adjei. “Você precisa entender as relações entre as entidades — como a conta A se comunica com o sistema B, que se autentica por meio do controlador de domínio. É aí que o mapeamento de dependências se torna crucial.”

Garantir a identidade central por meio da segmentação

Os controladores de domínio não podem estar em uma rede aberta. Quando tudo consegue alcançá-los, os atacantes também conseguem.  

A segmentação cria limites de Confiança Zero simples e robustos em torno desses sistemas. Isso bloqueia o tráfego desnecessário leste-oeste e remove os caminhos fáceis que os atacantes usam para se infiltrar mais profundamente.

O primeiro passo é entender como tudo se conecta. Mapeie quais sistemas se comunicam com o Active Directory e quais contas dependem dele. Com essa visualização, você pode limitar o acesso, de forma que apenas os sistemas que realmente precisam do controlador de domínio possam acessá-lo.

Uma abordagem de Confiança Zero para segmentação também deve funcionar em todos os ambientes — nuvem, data center e endpoints. Sem isso, os atacantes poderiam, em tese, se mover por todas elas.  

Um núcleo de identidade segmentado impede que uma pequena violação se transforme em uma invasão completa.

Melhorar a detecção e a resposta ao movimento lateral.

A maioria dos ataques só se torna séria depois de conquistar o primeiro ponto de apoio.  

Por isso, a detecção precisa ir além da violação inicial. Uma segurança robusta começa com um contexto claro: é preciso entender como as cargas de trabalho, as contas e o controlador de domínio se relacionam entre si.

Em seguida, concentre-se nos sinais de movimento lateral. Isso inclui conexões estranhas entre sistemas, padrões de tráfego incomuns ou uma identidade que alcança algo que nunca toca. Quando a detecção destaca apenas os eventos importantes, as equipes podem agir mais rapidamente e com menos ruído.

A última etapa é a contenção rápida. A detecção e a segmentação devem trabalhar em conjunto para isolar um sistema no momento em que ele apresentar um comportamento de risco. Isso impede que um invasor se aproxime do núcleo da identidade e reduz o raio de impacto de qualquer violação.

Experimente o Illumio Insights gratuitamente hoje mesmo para aprender como detectar e impedir ataques a controladores de domínio antes que se espalhem.

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

3 etapas para impedir que o ransomware se espalhe
Contenção de ransomware

3 etapas para impedir que o ransomware se espalhe

Descubra as etapas para impedir que o ransomware se espalhe limitando as conexões, expandindo a visibilidade e melhorando o tempo de resposta.

Leia mais
AWS e Illumio: ajudando o setor de saúde a modernizar sua resposta ao ransomware
Contenção de ransomware

AWS e Illumio: ajudando o setor de saúde a modernizar sua resposta ao ransomware

Junte-se à Illumio em 21 de setembro às 9h PST para um webinar gratuito com a Amazon Web Services (AWS).

Leia mais
Estudo sobre o custo global do ransomware: o que os números nos dizem
Contenção de ransomware

Estudo sobre o custo global do ransomware: o que os números nos dizem

Saiba como os atacantes estão migrando para a disrupção operacional, por que a prevenção não é suficiente e como o Zero Trust e a microssegmentação contêm o impacto do ransomware.

Leia mais
O Problema da Chave Mestra: Por Dentro da Violação do Salesloft e da Ameaça Contínua
Contenção de ransomware

O Problema da Chave Mestra: Por Dentro da Violação do Salesloft e da Ameaça Contínua

Descubra o que a violação da Salesloft revela sobre abuso de token OAuth, riscos ocultos de confiança e como conter ameaças antes que elas se espalhem.

Leia mais
Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los
Contenção de ransomware

Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los

Descubra como os atacantes “vivem da terra” usando ferramentas confiáveis como PowerShell e SSH e como impedir ameaças de LOTL com visibilidade e contenção.

Leia mais
Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica
Resiliência cibernética

Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica

Descubra como os ataques cibernéticos em infraestruturas críticas estão aumentando em 2025, à medida que as tensões globais aumentam e os grupos apoiados pelo estado atacam serviços públicos, serviços de saúde e muito mais.

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais