El equipo de respuesta rápida de Sophos informa de dos ataques del ransomware Nefilim, en los que se utilizaron las cuentas de los empleados jubilados para los ataques.
Sophos publica nuevos conocimientos sobre los ataques investigados por su equipo de respuesta rápida. El artículo "El ataque del ransomware Nefilim usa credenciales 'fantasmas'" describe cómo las cuentas fantasma no supervisadas permitieron dos ataques cibernéticos, uno de los cuales afectó al ransomware Nefilim.
Cuatro semanas desapercibido en el sistema
Nefilim, también conocido como ransomware Nemty, combina el robo de datos con el cifrado. El objetivo atacado por Nefilim tenía más de 100 sistemas afectados. Los expertos de Sophos pudieron rastrear el ataque original hasta una cuenta de administrador con acceso de alto nivel, que los atacantes vulneraron más de cuatro semanas antes de que se lanzara el ransomware. Durante ese tiempo, los ciberdelincuentes pudieron pasar desapercibidos a través de la red, robar credenciales para una cuenta de administrador de dominio y filtrar cientos de gigabytes de datos antes de liberar el ransomware, lo que finalmente reveló su presencia en el sistema.
La cuenta de administrador pirateada que hizo posible todo esto pertenecía a un empleado que lamentablemente falleció unos tres meses antes. La empresa había mantenido activa la cuenta, ya que se estaba utilizando para una serie de servicios.
“El ransomware es el componente final de un ataque más largo. Es el atacante quien finalmente revela que ya tiene el control de una red corporativa y ha completado la mayor parte del ataque”, dijo Peter Mackenzie, gerente del equipo de respuesta rápida de Sophos. "Si el ransomware no hubiera revelado activamente sus actividades, ¿cuánto tiempo cree que los atacantes habrían tenido acceso de administrador de dominio a la red sin el conocimiento de la empresa?"
Cuidado con las cuentas y los derechos de acceso “olvidados”
Un peligro aquí no es solo mantener activas las cuentas obsoletas y sin supervisión, sino también otorgar a los empleados más derechos de acceso de los que necesitan. "Las empresas asumen erróneamente que alguien que ocupa un puesto gerencial o es responsable de la red debe usar una cuenta de administrador de dominio", dijo Mackenzie. Su consejo: “Ninguna cuenta con privilegios debe usarse por defecto para trabajos que no requieran ese nivel de acceso. Los usuarios deben usar las cuentas requeridas solo cuando sea necesario y solo para esa tarea”.
Además, se deben configurar alertas para saber cuándo la cuenta de administrador del dominio está en uso o cuándo se crea una nueva cuenta de administrador. Un caso anterior que involucró al equipo de Rapid Response confirma este punto: un atacante obtuvo acceso a la red de una empresa, creó un nuevo usuario y agregó esa cuenta al grupo "Domain Admin" en Active Directory. Dado que no se generaron alertas, la nueva cuenta de administrador de dominio eliminó alrededor de 150 servidores virtuales y cifró las copias de seguridad del servidor con Microsoft BitLocker.
Así funciona la gestión segura de cuentas
Si una organización realmente necesita una cuenta desactualizada para continuar, debe configurar una cuenta de servicio y denegar los inicios de sesión interactivos para evitar actividades no deseadas, aconsejan los expertos de Sophos. Cuando ya no se necesite la cuenta, se debe desactivar y se deben realizar auditorías periódicas de Active Directory.
El equipo de respuesta rápida recomienda los siguientes pasos para una administración segura de la cuenta:
- Otorgue solo los derechos de acceso necesarios para una tarea o función específica
- Desactivar cuentas que ya no se necesitan
- Si las cuentas de los empleados fallecidos deben permanecer activas, se debe establecer una cuenta de servicio y se deben denegar los inicios de sesión interactivos.
- Auditorías periódicas de Active Directory: las políticas de auditoría de Active Directory se pueden configurar para monitorear la actividad de la cuenta del administrador o informar cuando se agrega una cuenta inesperada al grupo de administradores de dominio.
- Uso de una solución de seguridad, idealmente con tecnologías anti-ransomware como las que se encuentran en Sophos Intercept X
“Hacer un seguimiento de los detalles de la cuenta es una higiene de ciberseguridad básica e importante. Vemos demasiados incidentes en los que se han creado cuentas, a menudo con importantes derechos de acceso, que luego se han olvidado, a veces durante años. Tales 'cuentas fantasma' son un objetivo principal para los atacantes”.
Información general sobre Nefilim Ransomware
El ransomware Nefilim se informó por primera vez en marzo de 2020. Al igual que otras familias de ransomware, p. B. Dharma, Nefilim se dirige principalmente a los sistemas vulnerables de Protocolo de escritorio remoto (RPD), así como al software Citrix expuesto. Es una de un número creciente de familias de ransomware, junto con DoppelPaymer y otros, que practican el llamado "chantaje secundario", con ataques que combinan el cifrado con el robo de datos y el riesgo de exposición pública.
Más información en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.