Controles de identidade, segmentação, backups imutáveis, restrição de egressos e telemetria em hipervisores, endpoints e CI/CD reduzem o impacto de wipers e ransomware destrutivo.
| Componente | Active Directory, controladores de domínio, hipervisores VMware vSphere e Hyper-V, plataformas de endpoint e MDM, perímetro cloud, Kubernetes e pipelines CI/CD. |
| Vetor | Exploração de serviços expostos, autenticação de fator único, credenciais válidas, roubo de sessão por AiTM, abuso de RDP, SMB, WinRM, WMI, ferramentas de gerenciamento remoto, APIs cloud e permissões excessivas em Kubernetes ou CI/CD. |
| Impacto | Destruição de dados, remoção de evidências, desligamento em massa de VMs, deleção de snapshots e backups, wipe de endpoints, extração de segredos, indisponibilidade de AD, aplicações, namespaces e volumes persistentes. |
| Prioridade | Separar planos de identidade e gerenciamento, aplicar MFA resistente a phishing, restringir egressos, proteger backups imutáveis, reduzir privilégios permanentes e monitorar ações administrativas de alto impacto. |
| Artefatos | Eventos 4794, 4662, 4768, 4886, 4887, Sysmon Event ID 6 e Event ID 10, chaves HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdminLogonBehavior e HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential, logs hostd.log, vpxd.log, shell.log e auditoria de Kubernetes. |
| Mitigação | Backups offline e imutáveis, PAWs, RBAC restritivo, JIT/JEA, WDAC, ASR, Credential Guard, isolamento de VLAN/VRF, controle de egressos, assinatura de imagens, admission controllers e aprovação múltipla para comandos de wipe. |
Ataques destrutivos combinam técnicas de intrusão comuns com ações finais voltadas a tornar sistemas, dados e planos de recuperação indisponíveis. O objetivo técnico não é apenas cifrar arquivos, mas impedir restauração, apagar rastros, corromper serviços de identidade, desmontar infraestrutura virtualizada, acionar comandos legítimos de wipe e degradar ambientes de produção. Wipers, ransomware modificado e uso abusivo de plataformas administrativas entram no mesmo modelo operacional quando o atacante consegue chegar a contas privilegiadas, consoles de gerenciamento ou APIs com permissão para alterar estado de ativos em larga escala.
A defesa precisa ser organizada ao redor de planos de controle. Active Directory, hipervisores, backup, cloud IAM, MDM, EDR, Kubernetes e CI/CD concentram permissões que podem transformar uma credencial comprometida em destruição distribuída. A preparação técnica envolve inventário de ativos expostos, autenticação forte, segmentação IT/OT, restrição de egressos, isolamento de interfaces de administração, telemetria centralizada e exercícios reais de restauração. O ponto crítico é validar se a organização consegue operar e recuperar serviços quando a identidade corporativa primária, a comunicação interna ou a infraestrutura de gerenciamento estiverem degradadas.
O fluxo de risco começa normalmente em serviços acessíveis pela internet, contas com autenticação fraca ou sessões roubadas. Aplicações externas, VPNs, SaaS, painéis cloud, RDP exposto e portais de administração com autenticação de fator único podem ser atacados por força bruta, password spraying, credenciais vazadas ou roubo de token por adversary-in-the-middle. MFA por push, SMS, chamada telefônica ou e-mail reduz parte do risco, mas ainda permite fadiga de MFA, sequestro de número, abuso de caixa postal comprometida ou duplicação de semente TOTP. Para contas privilegiadas, a opção defensiva mais robusta é exigir autenticadores resistentes a phishing, como FIDO2 ou passkeys, combinados com dispositivo gerenciado, origem de rede esperada e sessão vinculada ao dispositivo.
Após o acesso inicial, o atacante tende a procurar caminhos de expansão lateral e privilégios. Em redes Windows, isso inclui SMB, RDP, WinRM, WMI, PsExec, DCOM, compartilhamentos administrativos como ADMIN$, C$ e IPC$, além de ferramentas legítimas de RMM. Em Active Directory, contas protegidas por grupos privilegiados, SPNs em contas não computador, permissões de replicação, GPOs, AD CS e gMSAs ampliam o impacto. Em infraestrutura virtual, o controle sobre vCenter, ESXi ou Hyper-V permite desligar VMs, remover snapshots, anexar discos virtuais a VMs de staging e extrair NTDS.dit fora do sistema convidado. Em MDM e EDR, a mesma lógica permite enviar scripts, perfis de configuração, comandos de Remote Wipe ou Factory Reset para muitos dispositivos. Em Kubernetes e CI/CD, permissões excessivas permitem apagar namespaces, deployments, PVCs, secrets, imagens e definições de pipeline.
A superfície exposta inclui ativos que raramente são tratados como sistemas de aplicação, mas que controlam recuperação, autenticação e operação. Controladores de domínio devem ter backup de estado do sistema, cópia de C:\Windows\SYSVOL, senha DSRM conhecida e FSMO mapeado com netdom query fsmo. Backups precisam ficar em enclaves separados por rede e identidade, com criptografia em trânsito e em repouso, RBAC e alertas para deleção, purga de metadados, erro de mídia e eventos de restauração. Se AD ficar corrompido ou indisponível, esses artefatos podem ser o único caminho viável para reconstituir serviços de domínio.
Ambientes IT/OT precisam ter identidades, domínios, rotas e dependências separados. Uma conta corporativa comprometida não deve autenticar em ativos que influenciam processos OT. O mesmo princípio vale para backup, EDR, AV, jump servers, storage e rede virtual usados nos dois lados. Hipervisores devem ter VLANs e VRFs dedicadas para gerenciamento, vMotion ou Live Migration, armazenamento e VMs de produção. Interfaces de vCenter, ESXi e Hyper-V devem aceitar conexões apenas de sub-redes de PAW, com bloqueio de SSH, VAMI, SMB, RPC/WMI e outros serviços fora das origens aprovadas. Em cloud, a superfície inclui IAM, service accounts, chaves de API, políticas condicionais, snapshots, vaults de backup, logs, VPCs, storage, registries e consoles SaaS.
- Serviços externos com
RDP,SMB, VPN, painéis administrativos, SaaS e APIs cloud expostos sem MFA resistente a phishing ou restrição por dispositivo e rede. - Ativos Tier 0 como controladores de domínio, CAs, servidores de backup, hipervisores, consoles MDM/EDR e contas com permissão de GPO, replicação ou administração de identidade.
- Pipelines CI/CD, repositórios, registries e clusters Kubernetes com service accounts amplas, imagens sem assinatura, segredos em variáveis de ambiente e acesso público ao servidor de API.
A telemetria deve procurar divergência de comportamento administrativo, não apenas assinaturas de malware. Em identidade, sinais fortes incluem excesso de falhas por usuário, falhas distribuídas por mesmo IP de origem, MFA repetido em janela curta, autenticação de conta privilegiada de origem externa, registro de novo dispositivo MFA após login de IP novo, concessões OAuth com escopos como Mail.Read e Files.ReadWrite.All, além de viagens impossíveis e ASNs fora do histórico do usuário. Em AD, Event ID 4662 com propriedades de replicação a partir de host que não é controlador de domínio indica risco de DCSync; Event ID 4794 e alteração em DSRMAdminLogonBehavior indicam manipulação de senha DSRM; eventos 4886 e 4887 em CAs, combinados com 4768 em controladores de domínio, ajudam a detectar abuso de AD CS.
Em endpoint e rede, hunting deve cobrir deleção de shadow copies, uso anômalo de wbadmin, fsutil, bcdedit, gravação de zeros em disco, alterações de Defender em um único comando, desativação de crash dump e execução por tarefa agendada. Sysmon Event ID 6 aponta instalação de driver, útil para detectar BYOVD quando .sys vem de caminhos graváveis por usuário; Sysmon Event ID 10 com acesso a lsass.exe por processo não sistêmico indica coleta de credenciais. Em virtualização, hostd.log, vpxd.log e shell.log devem alertar para habilitação de SSH, eventos ReceivedPowerOffVM, deleção em massa de snapshots, alteração de identidade SSO, comandos como wget, curl, psql e certificate-manager após sessão interativa, além de remoção e reanexação de discos de ativos Tier 0. Em Kubernetes, auditoria deve cobrir delete em massa, acesso incomum a /api/v1/secrets, pods privilegiados, hostPID, hostNetwork, volumes de host sensíveis e alterações na política de auditoria.
- Autenticações privilegiadas fora de PAWs, origem externa para contas administrativas, MFA por push acima de cinco solicitações em dez minutos e novo método de autenticação registrado após login anômalo.
- Eventos de impacto como deleção de shadow copies, desativação de
WDigest, mudança emDisableRestrictedAdmin, comandosDisable-PSRemoting -Force, criação de serviço para.sysem%TEMP%ou%APPDATA%e execução de ferramentas RMM não aprovadas. - Mudanças de alto risco em cloud e Kubernetes: criação de chaves de service account, alteração de IAM, redução de retenção WORM, deleção de snapshots, criação de volumes de produção por contas não backup, deployment de imagem sem assinatura e modificação de workflows fora do fluxo de pull request.
A ordem de resposta deve começar pela preservação dos planos de coordenação e recuperação. A comunicação de incidente precisa existir fora do plano de identidade corporativo, com acesso previamente testado por responsáveis internos e terceiros. Backups de AD, dados críticos, configurações de rede, lógica de OT, registries e estados de clusters precisam ser isolados por identidade, rede e retenção imutável. O teste não deve se limitar à existência do backup: é necessário restaurar serviços críticos em ambiente isolado, validar RTO e RPO, confirmar integridade e documentar a sequência de recuperação de dependências, começando por identidade, DNS, PKI, virtualização, storage e aplicações essenciais.
No endurecimento preventivo, o perímetro deve negar autenticação sem MFA resistente a phishing para funções privilegiadas, restringir acesso por dispositivo gerenciado e aplicar JIT/JEA para remover privilégios permanentes. Em Windows, GPOs devem bloquear uso lateral de contas locais e privilegiadas, restringir RDP, SMB, WinRM, WMI e DCOM entre workstations, habilitar logs do Windows Firewall, aplicar LAPS, desativar WDigest, ativar RunAsPPL, Credential Guard, WDAC, ASR e tamper protection. Em virtualização, habilite criptografia de VMs Tier 0, remova VMs órfãs, desative ou restrinja contas padrão, use lockdown mode quando aplicável e envie logs de hipervisor para SIEM. Em MDM, reduza administradores com permissão de wipe, aplique aprovação múltipla, escopo por tags e alerta para comandos em massa. Em Kubernetes e CI/CD, restrinja o servidor de API, assine imagens, exija proveniência, bloqueie wildcards em RBAC, limite cluster-admin, use admission controllers e mantenha backups imutáveis de etcd e volumes persistentes.
- Inventariar ativos externos, corrigir vulnerabilidades conhecidas, bloquear
RDPeSMBexpostos à internet e limitar egressos de servidores, OT, storage e hipervisores por allow-list de destino, porta e protocolo. - Separar identidades de IT, OT, cloud, backup e administração; exigir PAW para ações privilegiadas; negar logon local, remoto, em lote, serviço e rede para contas privilegiadas fora do Tier 0.
- Proteger a cadeia de recuperação: backups offline e WORM, chaves em KMS separado, auditoria de vaults, alertas para deleção ou alteração de política, exercícios de restauração e revisão periódica de permissões em AD CS, gMSA, SPNs, GPOs, MDM, CI/CD e Kubernetes.
0 Comentários