L'équipe d'intervention rapide de Sophos signale deux attaques du rançongiciel Nefilim, dans lesquelles les comptes d'employés à la retraite ont été utilisés pour des attaques.
Sophos publie de nouvelles informations sur les attaques étudiées par son équipe de réponse rapide. L'article « Nefilim Ransomware Attack Uses 'Ghost' Credentials » décrit comment des comptes fantômes non supervisés ont permis deux cyberattaques, dont l'une a affecté le ransomware Nefilim.
Quatre semaines passées inaperçues dans le système
Nefilim, également connu sous le nom de ransomware Nemty, combine le vol de données avec le cryptage. La cible attaquée par Nefilim avait plus de 100 systèmes affectés. Les experts de Sophos ont pu retracer l'attaque d'origine jusqu'à un compte administrateur avec un accès de haut niveau, que les attaquants ont compromis plus de quatre semaines avant la sortie du ransomware. Pendant ce temps, les cybercriminels ont pu se déplacer sur le réseau sans se faire remarquer, voler les informations d'identification d'un compte d'administrateur de domaine et exfiltrer des centaines de gigaoctets de données avant de libérer le ransomware, révélant finalement sa présence sur le système.
Le compte administrateur piraté qui a rendu tout cela possible appartenait à un employé qui est malheureusement décédé environ trois mois plus tôt. L'entreprise avait gardé le compte actif car il était utilisé pour une gamme de services.
"Le ransomware est le dernier composant d'une attaque plus longue. C'est l'attaquant qui révèle finalement qu'il contrôle déjà un réseau d'entreprise et qu'il a mené à bien la majeure partie de l'attaque », a déclaré Peter Mackenzie, responsable de l'équipe Sophos Rapid Response. "Si le ransomware n'avait pas divulgué activement ses activités, combien de temps pensez-vous que les attaquants auraient eu un accès administrateur de domaine au réseau à l'insu de l'entreprise ?"
Attention aux comptes et droits d'accès « oubliés »
Un danger ici n'est pas seulement de garder actifs des comptes obsolètes et non surveillés, mais aussi de donner aux employés plus de droits d'accès qu'ils n'en ont besoin. "Les entreprises supposent à tort que quelqu'un qui occupe un poste de direction ou est responsable du réseau doit utiliser un compte d'administrateur de domaine", a déclaré Mackenzie. Son conseil : « Aucun compte avec privilèges ne doit être utilisé par défaut pour un travail qui ne nécessite pas ce niveau d'accès. Les utilisateurs doivent utiliser les comptes requis uniquement lorsque cela est nécessaire et uniquement pour cette tâche. »
De plus, des alertes doivent être définies pour savoir quand le compte d'administrateur de domaine est utilisé ou quand un nouveau compte d'administrateur est créé. Un cas précédent impliquant l'équipe Rapid Response confirme ce point. Ici, un attaquant a eu accès au réseau d'une entreprise, a créé un nouvel utilisateur et a ajouté ce compte au groupe "Domain Admin" dans Active Directory . Comme aucune alerte n'a été déclenchée, le nouveau compte d'administrateur de domaine a ensuite supprimé environ 150 serveurs virtuels et chiffré les sauvegardes de serveur avec Microsoft BitLocker.
Voici comment fonctionne la gestion sécurisée des comptes
Si une organisation a vraiment besoin d'un compte obsolète pour continuer, elle doit configurer un compte de service et refuser les connexions interactives pour empêcher toute activité indésirable, conseillent les experts de Sophos. Lorsque le compte n'est plus nécessaire, il doit être désactivé et des audits réguliers d'Active Directory doivent être effectués.
L'équipe d'intervention rapide recommande les étapes suivantes pour la gestion sécurisée des comptes :
- Accorder uniquement les droits d'accès nécessaires pour une tâche ou un rôle spécifique
- Désactiver les comptes qui ne sont plus nécessaires
- Si les comptes des employés partis doivent rester actifs, un compte de service doit être créé et les connexions interactives doivent être refusées
- Audits périodiques d'Active Directory : les stratégies d'audit d'Active Directory peuvent être définies pour surveiller l'activité du compte administrateur ou signaler l'ajout d'un compte inattendu au groupe d'administrateurs de domaine
- Utilisation d'une solution de sécurité, idéalement avec des technologies anti-ransomware telles que celles trouvées dans Sophos Intercept X
« Garder une trace des détails du compte est une hygiène de base et importante en matière de cybersécurité. Nous voyons beaucoup trop d'incidents où des comptes ont été créés, souvent avec des droits d'accès importants, qui ont ensuite été oubliés, parfois pendant des années. Ces « comptes fantômes » sont une cible de choix pour les attaquants. »
Informations générales sur Nefilim Ransomware
Le rançongiciel Nefilim a été signalé pour la première fois en mars 2020. Comme d'autres familles de rançongiciels, par ex. B. Dharma, Nefilim cible principalement les systèmes RPD (Remote Desktop Protocol) vulnérables ainsi que les logiciels Citrix exposés. Il fait partie d'un nombre croissant de familles de ransomwares, aux côtés de DoppelPaymer et d'autres, qui pratiquent ce que l'on appelle le "chantage secondaire", avec des attaques qui combinent le cryptage avec le vol de données et le risque d'exposition publique.
En savoir plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.