Sophos Rapid Response Team は、Nefilim ランサムウェアによる XNUMX 件の攻撃を報告しています。この攻撃では、退職した従業員のアカウントが攻撃に使用されました。
ソフォスは、Rapid Response Team が調査した攻撃に関する新しい洞察を公開しています。 記事「Nefilim Ransomware Attack Uses 'Ghost' Credentials」では、監視されていないゴースト アカウントが XNUMX つのサイバー攻撃を可能にし、そのうちの XNUMX つが Nefilim ランサムウェアに影響を与えた方法について説明しています。
システムで気付かれない XNUMX 週間
Nemty ランサムウェアとしても知られる Nefilim は、データの盗難と暗号化を組み合わせたものです。 Nefilim によって攻撃されたターゲットは、100 以上のシステムに影響を与えました。 ソフォスの専門家は、ランサムウェアがリリースされる XNUMX 週間以上前に攻撃者が侵害した、高レベルのアクセス権を持つ管理者アカウントまで元の攻撃を追跡することができました。 その間、サイバー犯罪者は気づかれずにネットワークを移動し、ドメイン管理者アカウントの資格情報を盗み、数百ギガバイトのデータを盗み出してからランサムウェアをリリースし、最終的にシステム上の存在を明らかにしました.
これらすべてを可能にしたハッキングされた管理者アカウントは、悲しいことに約 XNUMX か月前に亡くなった従業員のものでした。 同社は、さまざまなサービスに使用されていたため、アカウントをアクティブに保ちました。
「ランサムウェアは、長期にわたる攻撃の最後の要素です。 すでに企業ネットワークを制御しており、ほとんどの攻撃を完了していることを最終的に明らかにするのは攻撃者です」と、Sophos Rapid Response Team のマネージャである Peter Mackenzie は述べています。 「ランサムウェアがその活動を積極的に開示していなかった場合、攻撃者は会社の知らないうちにネットワークへのドメイン管理者アクセス権をどのくらいの期間持っていたと思いますか?」
「忘れた」アカウントとアクセス権に注意してください
ここでの危険は、古くて監視されていないアカウントを有効にしておくだけでなく、従業員に必要以上のアクセス権を与えてしまうことです。 「企業は、管理職やネットワークの責任者がドメイン管理者アカウントを使用する必要があると誤って想定しています」と Mackenzie 氏は述べています。 彼のアドバイスは次のとおりです。 ユーザーは、必要な場合にのみ、そのタスクにのみ必要なアカウントを使用する必要があります。」
また、ドメイン管理者アカウントが使用されているとき、または新しい管理者アカウントが作成されたときにアラートを設定する必要があります。 Rapid Response チームが関与した以前のケースでは、この点が確認されており、攻撃者が会社のネットワークにアクセスし、新しいユーザーを作成し、そのアカウントを Active Directory の「Domain Admin」グループに追加しました。 アラートが発生しなかったため、新しいドメイン管理者アカウントは約 150 台の仮想サーバーを削除し、サーバーのバックアップを Microsoft BitLocker で暗号化しました。
これが安全なアカウント管理のしくみです
継続するために古いアカウントが本当に必要な場合は、サービス アカウントを設定し、インタラクティブなログインを拒否して、不要なアクティビティを防止する必要があるとソフォスの専門家はアドバイスしています。 アカウントが不要になったら無効にし、Active Directory の定期的な監査を実行する必要があります。
Rapid Response Team は、安全なアカウント管理のために次の手順を推奨しています。
- 特定のタスクまたは役割に必要なアクセス権のみを付与する
- 不要になったアカウントを無効にする
- 退職した従業員のアカウントをアクティブなままにしておく必要がある場合は、サービス アカウントを確立し、対話型ログインを拒否する必要があります。
- Active Directory の定期的な監査: Active Directory の監査ポリシーを設定して、管理者アカウントのアクティビティを監視したり、予期しないアカウントがドメイン管理者グループに追加されたときに報告したりできます。
- 理想的には、Sophos Intercept X に見られるようなランサムウェア対策技術を備えたセキュリティ ソリューションの使用
「アカウントの詳細を追跡することは、基本的で重要なサイバーセキュリティ衛生です。 多くの場合、重要なアクセス権が付与されたアカウントが設定され、場合によっては何年もの間、忘れられていたというインシデントが非常に多く見られます。 このような「ゴースト アカウント」は、攻撃者の主な標的です。」
Nefilim ランサムウェアの背景情報
Nefilim ランサムウェアは、2020 年 XNUMX 月に最初に報告されました。 他のランサムウェア ファミリーと同様に、 B. Dharma, Nefilim は主に、脆弱なリモート デスクトップ プロトコル (RPD) システムと公開された Citrix ソフトウェアを標的としています。 これは、DoppelPaymer などと並んで、暗号化とデータ盗難および公開のリスクを組み合わせた攻撃で、いわゆる「二次恐喝」を実行するランサムウェア ファミリの数が増加している XNUMX つです。
詳細については、Sophos.com をご覧ください。
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。