• Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události
Žádné výsledky
Zobrazit všechny výsledky
ITBiz.cz
ITBiz.cz
Žádné výsledky
Zobrazit všechny výsledky

Sophos vysledoval Nefilim a další ransomwarové útoky až k uživatelským účtům „duchů“

Pavel Houser
4. 2. 2021
| Zprávičky

Hacknutý administrátorský účet patřil zaměstnanci, jenž před třemi měsíci zemřel.

Sophos publikoval studii popisující útoky ransomwaru Nefilim a to, jak chyby při pravidelné kontrole uživatelských účtů „duchů“ usnadnily dva nedávné kybernetické útoky.

Nefilim, známý také jako ransomware Nemty, kombinuje odcizení dat s jejich šifrováním. Sledovaný cíl zasažený ransomwarem Nefilim měl více než 100 postižených systémů. Specialisté na reakci na útoky společnosti Sophos vystopovali počáteční narušení účtu administrátora s vysokou úrovní přístupových oprávnění, který útočníci napadli více než čtyři týdny před vypuštěním ransomwaru. Během této doby se útočníkům podařilo tiše pohybovat v síti, ukrást přihlašovací údaje k účtu správce domény a najít a exfiltrovat stovky GB dat, než spustili ransomware, který odhalil jejich přítomnost. Hacknutý administrátorský účet, který to umožnil, patřil zaměstnanci, jenž před třemi měsíci zemřel. Společnost ponechala účet aktivní, protože byl používán pro celou řadu služeb.

U druhého, nesouvisejícího útoku specialisté na reakci na hrozby společnosti Sophos zjistili, že vetřelci vytvořili nový uživatelský účet a přidali jej do skupiny pro správu domény v Active Directory společnosti, která byla cílem útoku. S tímto novým účtem správce domény mohli útočníci smazat přibližně 150 virtuálních serverů a zašifrovat zálohy serverů pomocí nástroje Microsoft BitLocker – to vše bez nutnosti deaktivovat výstrahy.

„Kdyby nebylo ransomwaru, který označil přítomnost vetřelců, jak dlouho by útočníci měli přístup k síti na úrovni správce domény, aniž by to společnost věděla?“ říká Peter Mackenzie, manažer Sophos Rapid Response. „Udržet si kontrolu nad přihlašovacími údaji k účtům je základní, ale kriticky důležitá součást kyberbezpečnostní hygieny. Vidíme příliš mnoho případů, kdy byly zřízeny účty, často se značnými přístupovými právy, na které se pak, někdy i na celé roky, zapomnělo. Tyto účty „duchů“ jsou hlavním cílem útočníků.“
 
Pokud organizace opravdu potřebuje účet i poté, co někdo společnost opustil, měla by implementovat servisní účet a zakázat interaktivní přihlášení, aby zabránila jakékoli nežádoucí činnosti. Nebo, pokud účet pro nic jiného nepotřebuje, deaktivovat jej a provádějte pravidelné audity Active Directory, doporučuje Sophos. Nebezpečné není jen udržovat zastaralé a nemonitorované účty aktivní, ale také udělovat zaměstnancům vyšší přístupová práva, než skutečně potřebují.
 
Ransomware Nefilim byl poprvé zaznamenán na březnu 2020. Nefilim cílí především na zranitelné systémy využívající Remote Desktop Protocol (RPD), stejně jako na nechráněný software Citrix. Jedná se o jednu z rostoucího počtu rodin ransomwaru, které provádějí tzv. sekundární vydírání prostřednictvím útoků kombinujících zašifrování s krádeží dat a hrozbou jejich zveřejnění.

Rubriky: Security

Související příspěvky

Vláda projedná novelu, která zpřesní pravomoci NÚKIB
Zprávičky

ČR vydala do USA dva Ukrajince podezřelé z kyberzločinu

6. 3. 2021
Zprávičky

Pokusy o zneužití zranitelnosti v Microsoft Exchange Serveru se budou stupňovat

6. 3. 2021
Bezpečnostní byznys s Covid-19 rostl
Články

Bezpečnostní byznys s Covid-19 rostl

5. 3. 2021
Zprávičky

Vakcíny proti Covid 19 se na Darknetu prodávají za 250 až 1 250 dolarů

5. 3. 2021

Komentáře 3

  1. ffdf says:
    3 týdny před

    “ najít a exfiltrovat stovky GB dat, než spustili ransomware, který odhalil jejich přítomnost. Hacknutý administrátorský účet, který to umožnil, patřil zaměstnanci, jenž před třemi měsíci zemřel. Společnost ponechala účet aktivní, protože byl používán pro celou řadu služeb.“

    Tak to naozaj neviem, načo by bolo treba nechať nejaký účet aktívny…že cez neho šla celá řada služeb…? A ešte tomu tomu účtu mohli pravidelne meniť heslo. V nejakých serverových verziách Windows je naozaj hračka sa dostať k prihlasovacím údajom nejakého konta?
    A IT zamestnanci majú mať okrem iného na starosti, aby monitorovali traffic na sieti či cez výstupnú gateway…a pri prenose už len niekoľko málo GB dát aby sa nato zamerali a celé pokračovanie takej činnosti znemožnili!
    Nie som admin, ale od 1993 čo som mal prvú 286 a kopy prečítaných časopisov typu PC world či PC chips o týchto incidentoch niečo viem…a myslím že stačí mať bud hw či sw firewall typu Comodo, čo som mal roky nainštalovaný na Win2000 a jednoducho také riešenie je dosť spoľahlivé nato, aby sa mi niekto zvonku netúlal po sieti!
    A prečo na týchto zaujímavých portáloch nikto nediskutuje? pane Houser, aká je čítanosť/návštevnosť týchto site???

  2. ffdf says:
    3 týdny před

    a ešte komentár čeká na schválení?…čo Vám tu šibká?…však som nepoužil jediné blbé slovo?!!!

  3. ffdf says:
    3 týdny před

    pane Houser, vidím ,že tu to nemá žiadnu cenu, idem rovno na sciencemag…tam aspoň neni cenzúra!

Zprávičky

Vláda projedná novelu, která zpřesní pravomoci NÚKIB

ČR vydala do USA dva Ukrajince podezřelé z kyberzločinu

ČTK
6. 3. 2021

Dva podezřelé Ukrajince ze skupiny policisté zadrželi v Česku loni v únoru. Ve Spojených

Pokusy o zneužití zranitelnosti v Microsoft Exchange Serveru se budou stupňovat

ČTK
6. 3. 2021

Podle Microsoftu stojí za kampaní skupina čínských hackerů zvaná Hafnium. Hackerům, kteří přišli s

Proč blockchain selhává

Zakladatel firmy McAfee byl obviněn z kryptoměnových podvodů

ČTK
5. 3. 2021

Pětasedmdesátiletý McAfee je nyní zadržován ve Španělsku. Zakladatel americké antivirové společnosti McAfee byl ve

Vakcíny proti Covid 19 se na Darknetu prodávají za 250 až 1 250 dolarů

Pavel Houser
5. 3. 2021

Aktuálně probíhající očkování představuje velikou příležitost pro podvodníky a prodejce na nelegálních virtuálních tržištích.

Za bezpečnostní incidenty v cloudu mohou hlavně samotní zákazníci

Systém veřejné správy napadli hackeři, útok se týkal Prahy i MPSV (aktualizace)

ČTK
5. 3. 2021

Systém veřejné správy napadli ve čtvrtek hackeři. O masivním kybernetickém útoku informoval na twitteru

EK zřejmě obviní Apple z omezování hospodářské soutěže

ČTK
5. 3. 2021

Stížnost před dvěma lety podala švédská služba pro streamování hudby Spotify. Evropská komise pravděpodobně

Premiér Babiš: Cílem aukce nebyl čtvrtý operátor, ale snížení cen

ČTK
5. 3. 2021

O vytvoření čtvrtého mobilního operátora neměl nikdo z velkých zahraničních investorů zájem. Cílem loňské

SpaceX vynesla další sérii 60 družic sítě Starlink

SpaceX už poslal na orbitu přes 1200 družic pro připojení na web

ČTK
4. 3. 2021

Hlavním cílem projektu Starlink je dostupnější vysokorychlostní přístup k internetu. Americká soukromá společnost SpaceX

Anghami bude první arabskou technologickou firmou na Nasdaqu

ČTK
4. 3. 2021

Rival Spotify, streamovací společnost Anghami, vstoupí jako první arabská technologická firma na americkou burzu

Tiskové zprávy

MWC 2021: Lepší život, inteligentní podniky a inkluzivní svět pro každého

Společnost Soitron obhájila Cisco Gold certifikaci a získala status servisního partnera

Jarní akce levného softwaru

Do boje proti pandemii se přidává stále více firem

Studie IBM: klíčem k prosperitě po odeznění pandemie budou umělá inteligence a nové technologie

Zatím nejrychlejší tiskárna imagePROGRAF

Zpráva dne

Jarní akce levného softwaru

Jarní akce levného softwaru

Redakce
5. 3. 2021

Softwarový prodejní portál GoodOffer24.com pokračuje s nabídkou levného softwaru. Kupte si z nabídky níže uvedených bundlů....

Odebírat newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Komentujeme

Chvála černých skřínek

Lidé spolu s chatboty rádi klamou

Pavel Houser
1. 2. 2021

Pokud lidé nejednají přímo, ale nechají se nějak zastupovat chatbotem, mají mnohem menší problém uchylovat se...

Nadcházející akce

  1. Hannover Messe Digital Edition 2021

    12. dubna - 16. dubna

Zobrazit všechny Akce

Slovník

FDMA

Sales manager

MAT

Nejpopulárnější články

Sophos vysledoval Nefilim a další ransomwarové útoky až k uživatelským účtům „duchů“

Pavel Houser
4. 2. 2021

Komerční banka hlásí výpadek poboček a internetového bankovnictví

Jiří Kocourek
30. 7. 2008

Padla další rekordní pokuta za porušení GDPR

Padla další rekordní pokuta za porušení GDPR

Redakce
7. 2. 2021

Adobe Reader 8 k dispozici

Filip Molčan
8. 12. 2006

Skupina Lazarus se nově soustředí na obranný průmysl, malware dokáže proniknout i do odpojených sítí

Pavel Houser
1. 3. 2021

Kategorie

  • Články
  • Komentujeme
  • Slovník
  • Tiskové zprávy
  • Zprávičky

Portál ITbiz.cz přináší informace z IT a byznysu již od roku 2006. Provozuje jej internetové vydavatelství Nitemedia. Hosting zajišťuje společnost Greenhousing.cz. Mezi další naše projekty patří například ABClinuxu.cz a Sciencemag.cz. Na stránce Redakce naleznete informace o redakci a možnostech inzerce.

Rubriky

Akce a události Byznys Cloud Ekomerce Hardware Internet Marketing Operační systémy Podnikový software Právo Rozhovory Science Security Technologie Telekomunikace Veřejná správa Vývoj a HTML Zajímavosti Zpráva dne České IT

RSS abclinuxu – čerstvé zprávičky

  • InstallFest 2021 online
  • Sweet Home 3D 6.5
  • Slovní úloha: V kterém týdnu letošního roku bude mít Firefox větší číslo verze než Chrome?

RSS Sciencemag.cz

  • Umělá inteligence cvičí psy
  • Co když člověka nakazí dva různé kmeny koronaviru?
  • Proč se jídlo lepí na pánev

Newsletter

Zásady ochrany osobních údajů.

Zkontrolujte svoji doručenou poštu a potvrďte odběr.

Žádné výsledky
Zobrazit všechny výsledky
  • Technologie
  • Byznys
  • Software
  • Hardware
  • Internet
  • Telco
  • Science
  • České IT
  • Události

© 2019 Vydává Nitemedia s.r.o. Hosting zajišťuje Greenhousing.cz.

Tento web používá cookies. Pokračováním dáváte souhlas s jejich používáním. Více na itbiz.cz/soukromi.