O grupo de ransomware Qilin foi observado usando uma técnica capaz de extrair credenciais de praticamente todas as contas de um domínio Windows, ampliando o risco de movimentação lateral e controle completo da rede.
A atividade explorou o próprio mecanismo de sincronização do Active Directory, usado normalmente por servidores para manter informações de usuários e senhas atualizadas entre diferentes controladores de domínio.
No ataque, os criminosos fizeram uma conta administrativa solicitar dados sigilosos como se fosse um servidor autorizado. Isso permitiu obter hashes de senhas, incluindo o da conta KRBTGT, uma das mais sensíveis do ambiente.
Com esse material, invasores podem tentar se passar por usuários, criar acessos duradouros e alcançar sistemas internos sem precisar roubar cada senha individualmente.
A técnica, conhecida como DCSync, não exige instalar arquivos diretamente no controlador de domínio. Isso reduz sinais visíveis e pode dificultar a detecção por ferramentas focadas apenas em programas executados nos servidores.
A recomendação é limitar quais contas podem sincronizar dados do Active Directory, ativar auditoria nos controladores de domínio e criar alertas para solicitações feitas por usuários não autorizados.



