सोफोस रैपिड रिस्पांस टीम ने नेफिलिम रैंसमवेयर द्वारा दो हमलों की रिपोर्ट दी, जिसमें हमलों के लिए सेवानिवृत्त कर्मचारियों के खातों का इस्तेमाल किया गया।
सोफोस अपनी रैपिड रिस्पांस टीम द्वारा जांच किए गए हमलों में नई अंतर्दृष्टि जारी कर रहा है। लेख "नेफिलिम रैंसमवेयर अटैक 'घोस्ट' क्रेडेंशियल्स का उपयोग करता है" वर्णन करता है कि कैसे असुरक्षित भूत खातों ने दो साइबर हमलों को सक्षम किया, जिनमें से एक नेफिलिम रैंसमवेयर को प्रभावित किया।
सिस्टम में चार सप्ताह किसी का ध्यान नहीं गया
नेफिलिम, जिसे नेम्टी रैंसमवेयर के रूप में भी जाना जाता है, एन्क्रिप्शन के साथ डेटा चोरी को जोड़ती है। नेफिलिम द्वारा हमला किए गए लक्ष्य में 100 से अधिक प्रणालियां प्रभावित हुईं। सोफोस विशेषज्ञ उच्च-स्तरीय पहुंच वाले व्यवस्थापक खाते पर मूल हमले का पता लगाने में सक्षम थे, जिसे हमलावरों ने रैंसमवेयर जारी होने से चार सप्ताह से अधिक समय पहले समझौता किया था। उस समय के दौरान, साइबर अपराधी बिना किसी ध्यान के नेटवर्क के माध्यम से आगे बढ़ने में सक्षम थे, एक डोमेन व्यवस्थापक खाते के लिए क्रेडेंशियल्स चुराते थे, और रैंसमवेयर को जारी करने से पहले सैकड़ों गीगाबाइट डेटा का बहिष्कार करते थे, अंततः सिस्टम पर इसकी उपस्थिति का खुलासा करते थे।
जिस हैक किए गए व्यवस्थापक खाते से यह सब संभव हुआ, वह उस कर्मचारी का था, जिसकी लगभग तीन महीने पहले मृत्यु हो गई थी। कंपनी ने खाते को सक्रिय रखा था क्योंकि इसका इस्तेमाल कई तरह की सेवाओं के लिए किया जा रहा था।
"रैनसमवेयर एक लंबे हमले में अंतिम घटक है। यह हमलावर ही है जो अंततः प्रकट करता है कि वे पहले से ही एक कॉर्पोरेट नेटवर्क के नियंत्रण में हैं और अधिकांश हमलों को पूरा कर चुके हैं," पीटर मैकेंज़ी, प्रबंधक, सोफोस रैपिड रिस्पांस टीम ने कहा। "अगर रैंसमवेयर ने सक्रिय रूप से अपनी गतिविधियों का खुलासा नहीं किया था, तो आपको कब तक लगता है कि हमलावरों के पास कंपनी की जानकारी के बिना नेटवर्क तक डोमेन एडमिन की पहुंच होगी?"
"भूल गए" खातों और एक्सेस अधिकारों से सावधान रहें
यहां एक खतरा न केवल बासी और बिना निगरानी वाले खातों को सक्रिय रखना है, बल्कि कर्मचारियों को उनकी जरूरत से ज्यादा पहुंच अधिकार देना भी है। मैकेंजी ने कहा, "कंपनियां गलत तरीके से मान लेती हैं कि कोई व्यक्ति जो प्रबंधकीय स्थिति रखता है या नेटवर्क के लिए जिम्मेदार है, उसे एक डोमेन व्यवस्थापक खाते का उपयोग करना चाहिए।" उनकी सलाह: "विशेषाधिकारों वाले किसी भी खाते का उपयोग डिफ़ॉल्ट रूप से उस कार्य के लिए नहीं किया जाना चाहिए जिसके लिए उस स्तर की पहुंच की आवश्यकता नहीं है। उपयोगकर्ताओं को आवश्यक खातों का उपयोग केवल तभी करना चाहिए जब आवश्यक हो और केवल उस कार्य के लिए।
साथ ही, यह जानने के लिए अलर्ट सेट किया जाना चाहिए कि डोमेन व्यवस्थापक खाता कब उपयोग में है या नया व्यवस्थापक खाता कब बनाया जाता है। रैपिड रिस्पांस टीम से जुड़ा एक पिछला मामला इस बिंदु की पुष्टि करता है। यहां, एक हमलावर ने एक कंपनी के नेटवर्क तक पहुंच प्राप्त की, एक नया उपयोगकर्ता बनाया, और उस खाते को सक्रिय निर्देशिका में "डोमेन एडमिन" समूह में जोड़ा। चूंकि कोई अलर्ट जारी नहीं किया गया था, इसलिए नए डोमेन व्यवस्थापक खाते ने लगभग 150 वर्चुअल सर्वर हटा दिए और Microsoft BitLocker के साथ सर्वर बैकअप को एन्क्रिप्ट किया।
इस प्रकार सुरक्षित खाता प्रबंधन कार्य करता है
यदि किसी संगठन को वास्तव में जारी रखने के लिए एक पुराने खाते की आवश्यकता है, तो उन्हें अवांछित गतिविधि को रोकने के लिए एक सेवा खाता स्थापित करना चाहिए और इंटरैक्टिव लॉगिन से इनकार करना चाहिए, सोफोस विशेषज्ञ सलाह देते हैं। जब खाते की आवश्यकता नहीं रह जाती है, तो इसे निष्क्रिय कर दिया जाना चाहिए और सक्रिय निर्देशिका का नियमित ऑडिट किया जाना चाहिए।
रैपिड रिस्पांस टीम सुरक्षित खाता प्रबंधन के लिए निम्नलिखित कदमों की सिफारिश करती है:
- केवल किसी विशिष्ट कार्य या भूमिका के लिए आवश्यक पहुँच अधिकार प्रदान करें
- उन खातों को निष्क्रिय करें जिनकी अब आवश्यकता नहीं है
- यदि दिवंगत कर्मचारियों के खाते सक्रिय रहना चाहिए, तो एक सेवा खाता स्थापित किया जाना चाहिए और इंटरएक्टिव लॉगिन से इनकार किया जाना चाहिए
- सक्रिय निर्देशिका की आवधिक लेखापरीक्षा: सक्रिय निर्देशिका लेखापरीक्षा नीतियों को प्रशासक खाता गतिविधि की निगरानी के लिए सेट किया जा सकता है या डोमेन व्यवस्थापक समूह में एक अनपेक्षित खाता जोड़े जाने पर रिपोर्ट की जा सकती है
- एक सुरक्षा समाधान का उपयोग, आदर्श रूप से एंटी-रैंसमवेयर तकनीकों के साथ जैसे कि सोफोस इंटरसेप्ट एक्स में पाया जाता है
"खाता विवरण का ट्रैक रखना बुनियादी, महत्वपूर्ण साइबर सुरक्षा स्वच्छता है। हम बहुत सी घटनाओं को देखते हैं जहां खाते स्थापित किए गए हैं, अक्सर महत्वपूर्ण पहुंच अधिकारों के साथ, जिन्हें बाद में भुला दिया गया है, कभी-कभी वर्षों तक। इस तरह के 'भूत खाते' हमलावरों के लिए एक प्रमुख लक्ष्य होते हैं।
नेफिलिम रैंसमवेयर पर पृष्ठभूमि की जानकारी
नेफिलिम रैंसमवेयर को पहली बार मार्च 2020 में रिपोर्ट किया गया था। अन्य रैंसमवेयर परिवारों की तरह, उदा. बी। धर्मा, नेफिलिम मुख्य रूप से कमजोर रिमोट डेस्कटॉप प्रोटोकॉल (RPD) सिस्टम के साथ-साथ उजागर Citrix सॉफ्टवेयर को लक्षित करता है। यह DoppelPaymer और अन्य लोगों के साथ-साथ रैनसमवेयर परिवारों की बढ़ती संख्या में से एक है, जो तथाकथित "द्वितीयक ब्लैकमेल" का अभ्यास करते हैं, जो डेटा चोरी और सार्वजनिक जोखिम के जोखिम के साथ एन्क्रिप्शन को जोड़ते हैं।
Sophos.com पर और जानें
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।