Il Sophos Rapid Response Team segnala due attacchi del ransomware Nefilim, in cui gli account dei dipendenti in pensione sono stati utilizzati per gli attacchi.
Sophos sta rilasciando nuove informazioni sugli attacchi indagati dal suo team di risposta rapida. L'articolo "Nefilim Ransomware Attack Uses 'Ghost' Credentials" descrive come gli account fantasma senza supervisione hanno consentito due attacchi informatici, uno dei quali ha interessato il ransomware Nefilim.
Quattro settimane inosservato nel sistema
Nefilim, noto anche come Nemty ransomware, combina il furto di dati con la crittografia. L'obiettivo attaccato da Nefilim aveva più di 100 sistemi colpiti. Gli esperti di Sophos sono riusciti a far risalire l'attacco originale a un account amministratore con accesso di alto livello, che gli aggressori hanno compromesso più di quattro settimane prima del rilascio del ransomware. Durante quel periodo, i criminali informatici sono stati in grado di muoversi attraverso la rete inosservati, rubare le credenziali per un account di amministratore di dominio ed esfiltrare centinaia di gigabyte di dati prima di rilasciare il ransomware, rivelando infine la sua presenza nel sistema.
L'account amministratore violato che ha reso possibile tutto questo apparteneva a un dipendente che purtroppo è deceduto circa tre mesi prima. La società aveva mantenuto attivo l'account poiché veniva utilizzato per una serie di servizi.
“Il ransomware è il componente finale di un attacco più lungo. È l'aggressore che alla fine rivela di avere già il controllo di una rete aziendale e di aver portato a termine la maggior parte dell'attacco", ha affermato Peter Mackenzie, manager del Sophos Rapid Response Team. "Se il ransomware non avesse rivelato attivamente le sue attività, per quanto tempo pensi che gli aggressori avrebbero avuto accesso alla rete come amministratore di dominio all'insaputa dell'azienda?"
Attenzione agli account e ai diritti di accesso "dimenticati".
Un pericolo qui non è solo mantenere attivi gli account obsoleti e non monitorati, ma anche concedere ai dipendenti più diritti di accesso di quelli di cui hanno bisogno. "Le aziende presumono erroneamente che qualcuno che ricopre una posizione manageriale o è responsabile della rete debba utilizzare un account amministratore di dominio", ha affermato Mackenzie. Il suo consiglio: “Nessun account con privilegi dovrebbe essere utilizzato per impostazione predefinita per lavori che non richiedono quel livello di accesso. Gli utenti dovrebbero utilizzare gli account richiesti solo quando necessario e solo per tale attività.
Inoltre, gli avvisi dovrebbero essere impostati per sapere quando l'account amministratore di dominio è in uso o quando viene creato un nuovo account amministratore. Un caso precedente che ha coinvolto il team di risposta rapida conferma questo punto: un utente malintenzionato ha ottenuto l'accesso alla rete di un'azienda, ha creato un nuovo utente e ha aggiunto quell'account al gruppo "Domain Admin" in Active Directory . Poiché non sono stati generati avvisi, il nuovo account amministratore di dominio ha quindi eliminato circa 150 server virtuali e crittografato i backup del server con Microsoft BitLocker.
Ecco come funziona la gestione sicura dell'account
Se un'organizzazione ha davvero bisogno di un account obsoleto per continuare, dovrebbe impostare un account di servizio e negare gli accessi interattivi per prevenire attività indesiderate, consigliano gli esperti di Sophos. Quando l'account non è più necessario, deve essere disattivato e devono essere eseguiti controlli regolari di Active Directory.
Il team di risposta rapida raccomanda i seguenti passaggi per una gestione sicura dell'account:
- Concedi solo i diritti di accesso necessari per un'attività o un ruolo specifico
- Disattiva gli account che non sono più necessari
- Se gli account dei dipendenti defunti devono rimanere attivi, è necessario creare un account di servizio e negare gli accessi interattivi
- Controlli periodici di Active Directory: i criteri di controllo di Active Directory possono essere impostati per monitorare l'attività dell'account amministratore o segnalare quando un account imprevisto viene aggiunto al gruppo degli amministratori di dominio
- Utilizzo di una soluzione di sicurezza, idealmente con tecnologie anti-ransomware come quelle presenti in Sophos Intercept X
“Tenere traccia dei dettagli dell'account è un'igiene di sicurezza informatica fondamentale e importante. Assistiamo a troppi incidenti in cui sono stati creati account, spesso con diritti di accesso significativi, che sono stati poi dimenticati, a volte per anni. Tali "account fantasma" sono un obiettivo primario per gli aggressori".
Informazioni di base su Nefilim Ransomware
Il ransomware Nefilim è stato segnalato per la prima volta nel marzo 2020. Come altre famiglie di ransomware, ad es. B. Dharma, Nefilim prende di mira principalmente i sistemi RPD (Remote Desktop Protocol) vulnerabili e il software Citrix esposto. Fa parte di un numero crescente di famiglie di ransomware, insieme a DoppelPaymer e altri, che praticano il cosiddetto "ricatto secondario", con attacchi che combinano la crittografia con il furto di dati e il rischio di esposizione pubblica.
Ulteriori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.