Hacknutý administrátorský účet patřil zaměstnanci, jenž před třemi měsíci zemřel.
Sophos publikoval studii popisující útoky ransomwaru Nefilim a to, jak chyby při pravidelné kontrole uživatelských účtů „duchů“ usnadnily dva nedávné kybernetické útoky.
Nefilim, známý také jako ransomware Nemty, kombinuje odcizení dat s jejich šifrováním. Sledovaný cíl zasažený ransomwarem Nefilim měl více než 100 postižených systémů. Specialisté na reakci na útoky společnosti Sophos vystopovali počáteční narušení účtu administrátora s vysokou úrovní přístupových oprávnění, který útočníci napadli více než čtyři týdny před vypuštěním ransomwaru. Během této doby se útočníkům podařilo tiše pohybovat v síti, ukrást přihlašovací údaje k účtu správce domény a najít a exfiltrovat stovky GB dat, než spustili ransomware, který odhalil jejich přítomnost. Hacknutý administrátorský účet, který to umožnil, patřil zaměstnanci, jenž před třemi měsíci zemřel. Společnost ponechala účet aktivní, protože byl používán pro celou řadu služeb.
U druhého, nesouvisejícího útoku specialisté na reakci na hrozby společnosti Sophos zjistili, že vetřelci vytvořili nový uživatelský účet a přidali jej do skupiny pro správu domény v Active Directory společnosti, která byla cílem útoku. S tímto novým účtem správce domény mohli útočníci smazat přibližně 150 virtuálních serverů a zašifrovat zálohy serverů pomocí nástroje Microsoft BitLocker – to vše bez nutnosti deaktivovat výstrahy.
„Kdyby nebylo ransomwaru, který označil přítomnost vetřelců, jak dlouho by útočníci měli přístup k síti na úrovni správce domény, aniž by to společnost věděla?“ říká Peter Mackenzie, manažer Sophos Rapid Response. „Udržet si kontrolu nad přihlašovacími údaji k účtům je základní, ale kriticky důležitá součást kyberbezpečnostní hygieny. Vidíme příliš mnoho případů, kdy byly zřízeny účty, často se značnými přístupovými právy, na které se pak, někdy i na celé roky, zapomnělo. Tyto účty „duchů“ jsou hlavním cílem útočníků.“
Pokud organizace opravdu potřebuje účet i poté, co někdo společnost opustil, měla by implementovat servisní účet a zakázat interaktivní přihlášení, aby zabránila jakékoli nežádoucí činnosti. Nebo, pokud účet pro nic jiného nepotřebuje, deaktivovat jej a provádějte pravidelné audity Active Directory, doporučuje Sophos. Nebezpečné není jen udržovat zastaralé a nemonitorované účty aktivní, ale také udělovat zaměstnancům vyšší přístupová práva, než skutečně potřebují.
Ransomware Nefilim byl poprvé zaznamenán na březnu 2020. Nefilim cílí především na zranitelné systémy využívající Remote Desktop Protocol (RPD), stejně jako na nechráněný software Citrix. Jedná se o jednu z rostoucího počtu rodin ransomwaru, které provádějí tzv. sekundární vydírání prostřednictvím útoků kombinujících zašifrování s krádeží dat a hrozbou jejich zveřejnění.