# Ransomware en AD

El ransomware es un tipo de malware que cifra los archivos de un sistema o red, exigiendo un rescate a cambio de la clave de descifrado. La relación entre el ransomware y obtener privilegios de administrador de dominio (Domain Admin) es crítica, ya que tener este nivel de acceso en una red corporativa permite a un atacante llevar a cabo ataques de ransomware con gran eficacia. Aquí hay varias razones y técnicas relacionadas con esta situación:

1. <mark style="color:red;">**Propagación Efectiva**</mark><mark style="color:red;">:</mark>
   * Con privilegios de administrador de dominio, el atacante puede desplegar fácilmente ransomware en todos los dispositivos de la red. Al tener el más alto nivel de privilegios, puede escribir en cualquier ubicación de la red y modificar políticas de grupo (GPOs) para ejecutar scripts maliciosos en múltiples máquinas.
2. <mark style="color:red;">**Cifrado de Datos Críticos**</mark><mark style="color:red;">:</mark>
   * El Domain Admin tiene acceso a todos los servidores y estaciones de trabajo, lo que significa que el atacante puede cifrar no solo datos de usuario, sino también bases de datos críticas, sistemas de archivos de servidores, backups en línea y otros recursos compartidos de red.
3. <mark style="color:red;">**Desactivación de Seguridad**</mark><mark style="color:red;">:</mark>
   * Con control total sobre las cuentas de dominio, un atacante puede desactivar el software de seguridad empresarial, políticas de firewall y otras medidas defensivas, permitiendo una difusión incontenida del ransomware sin ser detectado.
4. <mark style="color:red;">**Persistencia**</mark><mark style="color:red;">:</mark>
   * Al tener privilegios de administrador, es posible configurar el ransomware para que se reinstale con cada inicio del sistema, asegurando su persistencia incluso después de intentos de eliminación.
5. <mark style="color:red;">**Acceso a Backups**</mark><mark style="color:red;">:</mark>
   * Una de las técnicas más crueles es la eliminación o cifrado de backups. Con acceso de Domain Admin, el atacante puede localizar y destruir las copias de seguridad, haciendo imposible la recuperación de los datos sin pagar el rescate.
6. <mark style="color:red;">**Elevación de Privilegios**</mark><mark style="color:red;">:</mark>
   * Aunque el atacante haya entrado al sistema con credenciales limitadas, las técnicas de escalada de privilegios se pueden emplear para alcanzar privilegios de Domain Admin. Una vez logrado, se ejecuta el ransomware.
7. <mark style="color:red;">**Movimiento Lateral**</mark><mark style="color:red;">:</mark>
   * Los atacantes utilizan a menudo los privilegios de Domain Admin para moverse lateralmente dentro de la red, identificando y cifrando los sistemas más críticos para la operación del negocio para ejercer la máxima presión en la organización.
8. <mark style="color:red;">**Ataques Destructivos vs. Financieros**</mark><mark style="color:red;">:</mark>
   * Algunos actores de amenazas usan ransomware no con la intención de obtener un rescate, sino para disfrazar ataques destructivos. Con acceso de Domain Admin, pueden causar daño masivo que parece un ataque de ransomware.

Dada la severidad del impacto que un ransomware puede tener cuando se combina con privilegios de administrador de dominio, las organizaciones deben poner énfasis en proteger las credenciales de alta privilegio mediante prácticas como el principio de menor privilegio, la autenticación multifactor (MFA), el monitoreo continuo de la red, y la educación de los empleados sobre tácticas de phishing y otras formas de ingeniería social que suelen ser el primer paso en un ataque de ransomware.