Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
Contenção de ransomware
Maritza Marie Dubec
Gerente sênior de marketing de conteúdo
Illumio Editorial
11 de dezembro de 2025
23 minutos. ler

Além dos Portões: Zero Trust e a Defesa do Active Directory

When Marks & Spencer went dark last April, it wasn’t just another outage. The British retailer had shut down its online services to contain a ransomware attack aimed at its core identity backbone.

Researchers now link the incident to Scattered Spider, a loose-knit crew of U.K.- and U.S.-based attackers, some as young as 16. The group used DragonForce, a ransomware affiliate service that makes cyberattacks as easy as renting malware and extortion tools.

Adding insult to injury, DragonForce even emailed M&S CEO Stuart Machin directly, bragging about the breach and demanding payment.

What made this incident stand out wasn’t the motive, but the precision. Rather than lingering on end-user systems, the attackers worked their way through the network toward the domain controller — the system that governs identity and trust across the enterprise.

This reflects a broader trend: ransomware groups are increasingly targeting identity infrastructure to accelerate their attacks. Understanding how that shift played out — and how it can be stopped — shows why identity has become the center of gravity in modern ransomware defense.

Number of DragonForce attacks by country according to GROUP-IB analysts. DragonForce is a ransomware-as-a-service affiliate program that often customizes attacks.

Quando a essência da identidade está insegura

Investigators have confirmed that the M&S attackers exfiltrated the NTDS.dit file — the crown jewels of Microsoft Active Directory.  

Active Directory runs on domain controllers — the servers that store and enforce the entire identity system. In plain terms, they stole the domain controller database, the system that decides who inside a company is trusted, what they’re allowed to access, and how every other system verifies identity.  

O roubo foi o equivalente digital a sair de um banco, não apenas com o conteúdo do cofre, mas também com as chaves, as plantas e a autoridade para imprimir dinheiro novo à vontade.  

The attack exposed a reality that organizations may not want to admit publicly: attackers know that compromising a domain controller is the fastest and most reliable path to breaching an entire enterprise.

The M&S attack also shows how modern threat actors often think. Once they get inside a network, they don’t linger on end-user machines or look for stray servers to encrypt. They often laser-focus on finding a path to the domain controller.

This is because Active Directory is the system that holds everything together — user accounts, service accounts, permissions, authentication tickets, and the trust relationships that bind huge corporate environments. It’s a path that a Zero Trust approach would have shut down.

“Se você controla o controlador de domínio, você controla a infraestrutura de identidade da organização”, disse Michael Adjei, diretor de engenharia de sistemas da Illumio. “Você pode se conceder o que chamamos de permissões divinas.” para controlar todos os sistemas que confiam nele.

That insight echoes warnings from CISA.

“Se um invasor conseguir acessar o controlador de domínio, ele não obterá acesso automaticamente. Eles herdam toda a identidade da organização”, disse Adjei. “Contas, permissões, tokens, credenciais de serviço: tudo flui do Active Directory.”  

Painel do Gerenciador de Servidores do Windows Server 2012 mostrando três funções: servidor de diretório AD, DNS e serviços de arquivos.

A violação de dados da Change Healthcare: uma brecha que ninguém conseguiu impedir.

Something similar happened in a Change Healthcare breach disclosed in February 2024, one of the largest healthcare cyber incidents in U.S. history.

Attackers, believed to be ALPHV Blackcat affiliates, gained an initial foothold through a remote server that lacked multi-factor authentication. Then they moved laterally through the environment, escalated privileges, and finally reached systems tied to the company’s core identity infrastructure.

The results were catastrophic: weeks of outages, billions in losses, nationwide pharmacy disruption, and data exposure affecting nearly 200 million people.

UnitedHealth Group CEO Andrew Witty paid the ransom, reportedly about $22 million in Bitcoin.  

But the payment didn’t bring the data back. Witty confirmed Change Healthcare recovered nothing — a familiar outcome in ransomware cases and a key reason experts warn against paying at all.  

The U.S. State Department is offering $15 million for intel that helps identify or track down the leaders behind ALPHV/BlackCat.

Como a violação se acelera: caminho até o controlador de domínio

The breach shows the real cost of an identity-layer failure combined with a lack of Zero Trust controls: one gap, a rapid lateral attack, and nationwide disruption that no ransom can reverse.

Once inside, threat actors don’t need to hit every system — they only need an east-west path of least resistance without controls.  

With nothing to contain the breach, they move laterally toward the domain controller, take hold of the victim’s core identity systems, and turn a single foothold into full-on compromise.

Adjei explicou que a maioria das violações de controladores de domínio começa com algo pequeno, como um sistema sem patches, um controle de identidade mal configurado ou uma conta de serviço antiga com privilégios excessivos. Essas brechas oferecem aos atacantes uma posição discreta e a oportunidade de mapear o ambiente por dentro.

From there, the reconnaissance looks ordinary: group lookups, domain trust checks, Kerberos queries, and service enumeration. None of them may trigger alarms by itself. But together, these steps reveal the most important target in the network: the domain controller and the identities that can reach it.

“O perigo é que muitas organizações presumem que seu controlador de domínio está seguro porque está protegido por monitoramento ou isolamento físico”, disse Adjei. “Mas os atacantes raramente atacam diretamente.” Eles seguem qualquer caminho interno que esteja aberto — uma credencial fraca, um sistema acessível ou uma rede horizontal leste-oeste que nunca bloqueia seu movimento.”  

O padrão observado nas violações de segurança da M&S e da Change Healthcare deixa o ponto claro: quando os invasores conseguem acessar o Active Directory, a escalada de riscos é inevitável.

“You need graph-based visibility, not just logs,” Adjei said. “You must understand relationships between entities — how account A talks to system B, which authenticates through the domain controller. That’s where dependency mapping becomes critical.”

Garantir a identidade central por meio da segmentação

Os controladores de domínio não podem estar em uma rede aberta. Quando tudo consegue alcançá-los, os atacantes também conseguem.  

Segmentation creates simple, strong Zero Trust boundaries around these systems. It blocks unnecessary east-west traffic and removes the easy paths attackers use to move deeper.

O primeiro passo é entender como tudo se conecta. Mapeie quais sistemas se comunicam com o Active Directory e quais contas dependem dele. Com essa visualização, você pode limitar o acesso, de forma que apenas os sistemas que realmente precisam do controlador de domínio possam acessá-lo.

Uma abordagem de Confiança Zero para segmentação também deve funcionar em todos os ambientes — nuvem, data center e endpoints. Sem isso, os atacantes poderiam, em tese, se mover por todas elas.  

Um núcleo de identidade segmentado impede que uma pequena violação se transforme em uma invasão completa.

Melhorar a detecção e a resposta ao movimento lateral.

A maioria dos ataques só se torna séria depois de conquistar o primeiro ponto de apoio.  

Por isso, a detecção precisa ir além da violação inicial. Uma segurança robusta começa com um contexto claro: é preciso entender como as cargas de trabalho, as contas e o controlador de domínio se relacionam entre si.

Em seguida, concentre-se nos sinais de movimento lateral. Isso inclui conexões estranhas entre sistemas, padrões de tráfego incomuns ou uma identidade que alcança algo que nunca toca. Quando a detecção destaca apenas os eventos importantes, as equipes podem agir mais rapidamente e com menos ruído.

A última etapa é a contenção rápida. A detecção e a segmentação devem trabalhar em conjunto para isolar um sistema no momento em que ele apresentar um comportamento de risco. Isso impede que um invasor se aproxime do núcleo da identidade e reduz o raio de impacto de qualquer violação.

Experience Illumio Insights free today to learn how to see and stop domain controller attacks before they spread.

Tópicos relacionados

Contenção de ransomware

Artigos relacionados

Estudo sobre o custo global do ransomware: o que os números nos dizem
Contenção de ransomware

Estudo sobre o custo global do ransomware: o que os números nos dizem

Saiba como os atacantes estão migrando para a disrupção operacional, por que a prevenção não é suficiente e como o Zero Trust e a microssegmentação contêm o impacto do ransomware.

Leia mais
O que fazer em um incidente cibernético, parte 2: resposta não técnica
Contenção de ransomware

O que fazer em um incidente cibernético, parte 2: resposta não técnica

Entenda o lado não técnico crucial da resposta a incidentes cibernéticos: avaliação de incidentes, relatórios, registros regulatórios, divulgação pública e aplicação de processos.

Leia mais
Como a Illumio impede a movimentação lateral de ransomware em ambientes híbridos de múltiplas nuvens
Contenção de ransomware

Como a Illumio impede a movimentação lateral de ransomware em ambientes híbridos de múltiplas nuvens

Descubra como as soluções de detecção e segmentação em nuvem da Illumio previnem a movimentação lateral de ransomware e contêm violações em nuvens híbridas.

Leia mais
O Problema da Chave Mestra: Por Dentro da Violação do Salesloft e da Ameaça Contínua
Contenção de ransomware

O Problema da Chave Mestra: Por Dentro da Violação do Salesloft e da Ameaça Contínua

Descubra o que a violação da Salesloft revela sobre abuso de token OAuth, riscos ocultos de confiança e como conter ameaças antes que elas se espalhem.

Leia mais
Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los
Contenção de ransomware

Cavalo de Tróia moderno: como os atacantes vivem fora da terra e como detê-los

Descubra como os atacantes “vivem da terra” usando ferramentas confiáveis como PowerShell e SSH e como impedir ameaças de LOTL com visibilidade e contenção.

Leia mais
Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica
Resiliência cibernética

Here Be Dragons: as crescentes ameaças cibernéticas à infraestrutura crítica

Descubra como os ataques cibernéticos em infraestruturas críticas estão aumentando em 2025, à medida que as tensões globais aumentam e os grupos apoiados pelo estado atacam serviços públicos, serviços de saúde e muito mais.

Leia mais

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais