
Theo cảnh báo mới nhất từ Microsoft, các nhóm tin tặc chuyên tấn công bằng ransomware đang ngày càng tập trung khai thác Active Directory Domain Controllers để gia tăng đặc quyền trong các mạng lưới bị xâm nhập.
Trong bài viết gần đây, Microsoft cho biết gần 80% các cuộc tấn công mạng do con người điều khiển đều liên quan đến việc một Domain Controller bị xâm phạm. Đặc biệt, hơn 30% các cuộc tấn công ransomware được phát tán thông qua Domain Controller – hệ thống trung tâm quản lý quyền truy cập và xác thực trong mạng doanh nghiệp.
Việc chiếm quyền Domain Controller cho phép tin tặc trích xuất các password hash của toàn bộ tài khoản người dùng. Từ đó, chúng có thể xác định và kiểm soát các tài khoản có đặc quyền cao như tài khoản quản trị hệ thống (admin), phục vụ cho mục đích leo thang đặc quyền.
Trong một vụ việc cụ thể, nhóm tấn công được Microsoft theo dõi dưới mã định danh Storm-0300 đã tiến hành một cuộc tấn công ransomware sau khi xâm nhập qua Virtual Private Network (VPN) của nạn nhân. Nhóm này đã đánh cắp được thông tin admin và cố gắng truy cập vào Domain Controller qua Remote Desktop Protocol (RDP). Sau đó, chúng thực hiện hàng loạt hành vi như do thám hệ thống (reconnaissance), né tránh hệ thống bảo mật (security evasion), và leo thang đặc quyền.
Microsoft lưu ý rằng mặc dù Domain Controller đang ngày càng trở thành mục tiêu chính, việc bảo vệ hệ thống này vẫn là thách thức lớn do vai trò trung tâm của nó trong việc xác thực và quản lý tài nguyên hệ thống. Tuy nhiên, bảo vệ Domain Controller chưa bao giờ là điều dễ dàng. Bởi đây không chỉ là điểm trung tâm quản lý xác thực và truy cập tài nguyên, mà còn là mắt xích không thể ngắt trong vận hành hằng ngày. Việc “gia cố” bảo mật cần đi kèm với khả năng duy trì hoạt động liên tục – một bài toán cân bằng khó nhằn đối với nhiều tổ chức.
Microsoft cho rằng một trong những giải pháp khả thi là xây dựng khả năng giúp hệ thống phân biệt được hành vi hợp pháp và hành vi nguy hiểm. Đây có thể là chìa khóa để sớm phát hiện và ngăn chặn nguy cơ trước khi mọi thứ vượt khỏi tầm kiểm soát.
Song song đó, các chuyên gia bảo mật như Jason Soroko từ Sectigo cũng nhấn mạnh dù Microsoft có cung cấp những lớp phòng thủ mạnh mẽ, hiệu quả vẫn phụ thuộc rất lớn vào người dùng cuối. Các tổ chức cần liên tục cập nhật bản vá bảo mật, kích hoạt xác thực đa yếu tố (MFA), và đặc biệt, tránh phụ thuộc vào hệ thống cũ kỹ không còn được hỗ trợ.