Ransomware via Mitarbeiter-Geisterkonten

Nefilim-Ransomware Konten

Beitrag teilen

Sophos Rapid Response Team berichtet von zwei Angriffen durch die Nefilim-Ransomware, bei denen Konten ausgeschiedener Mitarbeiter*innen für Angriffe missbraucht wurden.

Sophos veröffentlicht neue Erkenntnisse über Angriffe, die von seinem Rapid Response Team untersucht wurden. Der Artikel „Nefilim Ransomware Attack Uses ‚Ghost‘ Credentials“ beschreibt, wie nicht überwachte Geisterkonten zwei Cyberattacken ermöglichte, von denen eine die Nefilim Ransomware betraf.

Anzeige

Vier Wochen unbemerkt im System

Nefilim, auch bekannt als Nemty Ransomware, kombiniert Datendiebstahl mit Verschlüsselung. Bei dem von Nefilim angegriffenen Ziel waren mehr als 100 Systeme betroffen. Die Sophos-Experten konnten den ursprünglichen Angriff auf ein Administratorkonto mit hochrangigem Zugriff zurückverfolgen, das die Angreifer mehr als vier Wochen vor der Veröffentlichung der Ransomware kompromittiert hatten. In dieser Zeit konnten sich die Cyberkriminellen unbemerkt durch das Netzwerk bewegen, Zugangsdaten für ein Domain-Administratorkonto stehlen und hunderte Gigabyte an Daten exfiltrieren, bevor sie die Ransomware freisetzten und so schließlich ihre Anwesenheit im System offenbarten.

Das gehackte Administratorkonto, über das all dies möglich geworden war, gehörte einem Mitarbeiter, der leider etwa drei Monate zuvor verstorben war. Das Unternehmen hatte das Konto aktiv gehalten, da es für eine Reihe von Diensten verwendet wurde.

„Ransomware ist die letzte Komponente in einem längeren Angriff. Es ist der Angreifer, der letztendlich offenbart, dass er bereits die Kontrolle über ein Unternehmensnetzwerk hat und den Großteil des Angriffs abgeschlossen ist,“ so Peter Mackenzie, Manager beim Sophos Rapid-Response-Team. „Wenn die Ransomware ihre Aktivitäten nicht aktiv offen gelegt hätte, wie lange hätten die Angreifer wohl Domain-Admin-Zugriff auf das Netzwerk gehabt, ohne dass das Unternehmen davon gewusst hätte?“

Vorsicht vor „vergessenen“ Konten und Zugriffsrechten

Eine Gefahr besteht dabei nicht nur darin, veraltete und unüberwachte Konten aktiv zu halten, sondern auch darin, Mitarbeiter*innen mehr Zugriffsrechte zu geben, als sie benötigen. „Unternehmen gehen fälschlicherweise davon aus, dass eine Person, die eine Führungs-position innehat oder für das Netzwerk verantwortlich ist, einen Domain-Admin-Account verwenden muss,“ so Mackenzie. Sein Rat: „Kein Konto mit Privilegien sollte standardmäßig für Arbeiten verwendet werden, die diese Zugriffsebene nicht erfordern. Benutzer sollten die erforderlichen Konten nur bei Bedarf und nur für diese Aufgabe verwenden.“

Zudem sollten Alarme so eingestellt werden, dass bekannt ist, wenn der Domain-Admin-Account verwendet wird oder ein neuer Admin-Account erstellt wird. Ein früherer Fall, zu dem das Rapid-Response-Team hinzugezogen wurde, bestätigt diesen Punkt.Hier verschaffte sich ein Angreifer Zugriff auf das Netzwerk eines Unternehmens, legte einen neuen Benutzer an und fügte dieses Konto der Gruppe „Domain Admin“ in Active Directory hinzu. Da keinerlei Warnungen ausgelöst wurden, löschte das neue Domainadministratorkonto anschließend etwa 150 virtuelle Server und verschlüsselte die Server-Backups mit Microsoft BitLocker.

So klappt sichere Kontenverwaltung

Wenn eine Organisation ein veraltetes Konto tatsächlich weiterhin benötigt, sollte sie ein Dienstkonto einrichten und interaktive Logins verweigern, um unerwünschte Aktivitäten zu verhindern, so der Rat der Sophos Experten. Wenn das Konto nicht mehr benötigt wird, sollte es deaktiviert und regelmäßige Audits des Active Directory durchgeführt werden.

Das Rapid Response Team rät zu folgenden Schritten für eine sicher Kontenverwaltung:

  • Nur die Zugriffsrechte gewähren, die für eine bestimmte Aufgabe oder Rolle benötigt werden
  • Nicht mehr benötigte Konten deaktivieren
  • Wenn Konten ausgeschiedener Mitarbeiter*innen aktiv bleiben müssen, sollte ein Dienstkonto eingerichtet und interaktive Anmeldungen verweigert werden
  • Regelmäßige Audits des Active Directory: Active Directory-Überprüfungsrichtlinien können so eingestellt werden, dass sie die Aktivität von Administratorkonten überwachen oder melden, wenn ein unerwartetes Konto zur Domänenadministratorgruppe hinzugefügt wird
  • Einsatz einer Sicherheitslösung, idealerweise mit Anti-Ransomware-Technologien, wie sie zum Beispiel in Sophos Intercept X enthalten sind

„Kontodaten im Auge zu behalten, ist eine grundlegende, wichtige Cybersecurity-Hygiene. Wir sehen viel zu viele Vorfälle, bei denen Konten eingerichtet wurden, oft mit erheblichen Zugriffsrechten, die dann vergessen wurden, manchmal über Jahre hinweg. Solche `Geisterkonten´ sind ein bevorzugtes Ziel für Angreifer.“

Hintergrundinfo zu Nefilim Ransomware

Über Nefilim Ransomware wurde erstmals im März 2020 berichtet. Wie andere Ransomware-Familien, z. B. Dharma, zielt Nefilim hauptsächlich auf verwundbare Remote Desktop Protocol (RPD)-Systeme sowie auf exponierte Citrix-Software. Sie gehört neben DoppelPaymer und anderen zu einer wachsenden Zahl von Ransomware-Familien, die sogenannte „sekundäre Erpressung“ betreiben, mit Angriffen, die Verschlüsselung mit Datendiebstahl und der Gefahr der öffentlichen Bloßstellung kombinieren.

Mehr dazu bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

Disaster-Recovery-Ereignisse bei Microsoft 365

Ein globales Softwareunternehmen, das IT-Dienstleister bei der Bereitstellung von Fernüberwachung und -verwaltung, Datenschutz als Service und Sicherheitslösungen unterstützt, hat den ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

Authentifizierungs-Codes geknackt

Forscher in China haben einen Ansatz demonstriert, der erfolgreich auf kürzere Authentifizierungs- und Verschlüsselungscodes abzielt - allerdings noch nicht auf ➡ Weiterlesen

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier ➡ Weiterlesen