A equipe de resposta rápida da Sophos relata dois ataques do ransomware Nefilim, nos quais as contas de funcionários aposentados foram usadas para ataques.
A Sophos está lançando novos insights sobre ataques investigados por sua equipe de resposta rápida. O artigo “Nefilim Ransomware Attack Uses 'Ghost' Credentials” descreve como contas fantasmas não supervisionadas permitiram dois ataques cibernéticos, um dos quais afetou o Nefilim ransomware.
Quatro semanas sem ser notado no sistema
O Nefilim, também conhecido como ransomware Nemty, combina roubo de dados com criptografia. O alvo atacado pelos Nefilim teve mais de 100 sistemas afetados. Os especialistas da Sophos conseguiram rastrear o ataque original até uma conta de administrador com acesso de alto nível, que os invasores comprometeram mais de quatro semanas antes do lançamento do ransomware. Durante esse período, os cibercriminosos conseguiram se mover pela rede sem serem notados, roubar credenciais de uma conta de administrador de domínio e exfiltrar centenas de gigabytes de dados antes de liberar o ransomware, revelando sua presença no sistema.
A conta de administrador hackeada que tornou tudo isso possível pertencia a um funcionário que infelizmente faleceu cerca de três meses antes. A empresa manteve a conta ativa, pois estava sendo usada para uma série de serviços.
“O ransomware é o componente final em um ataque mais longo. É o invasor que finalmente revela que já está no controle de uma rede corporativa e completou a maior parte do ataque”, disse Peter Mackenzie, gerente da Sophos Rapid Response Team. "Se o ransomware não tivesse divulgado ativamente suas atividades, por quanto tempo você acha que os invasores teriam acesso de administrador de domínio à rede sem o conhecimento da empresa?"
Cuidado com contas “esquecidas” e direitos de acesso
Um perigo aqui não é apenas manter contas obsoletas e não monitoradas ativas, mas também dar aos funcionários mais direitos de acesso do que precisam. “As empresas assumem erroneamente que alguém que ocupa um cargo gerencial ou é responsável pela rede deve usar uma conta de administrador de domínio”, disse Mackenzie. Seu conselho: “Nenhuma conta com privilégios deve ser usada por padrão para trabalhos que não requeiram esse nível de acesso. Os usuários devem usar as contas necessárias apenas quando necessário e apenas para essa tarefa.”
Além disso, os alertas devem ser definidos para saber quando a conta de administrador do domínio está em uso ou quando uma nova conta de administrador é criada. Um caso anterior envolvendo a equipe Rapid Response confirma esse ponto: um invasor obteve acesso à rede de uma empresa, criou um novo usuário e adicionou essa conta ao grupo "Administrador do domínio" no Active Directory . Como nenhum alerta foi gerado, a nova conta de administrador de domínio excluiu cerca de 150 servidores virtuais e criptografou os backups do servidor com o Microsoft BitLocker.
É assim que funciona o gerenciamento seguro de contas
Se uma organização realmente precisa de uma conta desatualizada para continuar, ela deve configurar uma conta de serviço e negar logins interativos para evitar atividades indesejadas, aconselham os especialistas da Sophos. Quando a conta não for mais necessária, ela deve ser desativada e auditorias regulares do Active Directory devem ser realizadas.
A equipe de resposta rápida recomenda as seguintes etapas para o gerenciamento seguro da conta:
- Conceda apenas os direitos de acesso necessários para uma tarefa ou função específica
- Desative as contas que não são mais necessárias
- Se as contas dos funcionários que partiram devem permanecer ativas, uma conta de serviço deve ser estabelecida e os logins interativos devem ser negados
- Auditorias periódicas do Active Directory: as políticas de auditoria do Active Directory podem ser definidas para monitorar a atividade da conta do administrador ou relatar quando uma conta inesperada é adicionada ao grupo de administradores de domínio
- Uso de uma solução de segurança, idealmente com tecnologias anti-ransomware como as encontradas no Sophos Intercept X
“Acompanhar os detalhes da conta é uma higiene de cibersegurança básica e importante. Vemos muitos incidentes em que as contas foram criadas, muitas vezes com direitos de acesso significativos, que foram esquecidos, às vezes por anos. Essas 'contas fantasmas' são o principal alvo dos invasores.”
Informações básicas sobre Nefilim Ransomware
Nefilim ransomware foi relatado pela primeira vez em março de 2020. Como outras famílias de ransomware, por ex. B. Dharma, o Nefilim visa principalmente sistemas vulneráveis de protocolo de área de trabalho remota (RPD), bem como software Citrix exposto. Ele faz parte de um número crescente de famílias de ransomware, ao lado de DoppelPaymer e outras, que praticam a chamada “chantagem secundária”, com ataques que combinam criptografia com roubo de dados e risco de exposição pública.
Saiba mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.