Sophos Hızlı Müdahale Ekibi, Nefilim fidye yazılımı tarafından emekli çalışanların hesaplarının saldırılar için kullanıldığı iki saldırı bildirdi.
Sophos, Hızlı Müdahale Ekibi tarafından araştırılan saldırılara ilişkin yeni içgörüler yayınlıyor. "Nefilim Fidye Yazılımı Saldırısı 'Hayalet' Kimlik Bilgilerini Kullanıyor" makalesi, denetlenmeyen hayalet hesapların, biri Nefilim fidye yazılımını etkileyen iki siber saldırıyı nasıl etkinleştirdiğini açıklıyor.
Sistemde fark edilmeyen dört hafta
Nemty fidye yazılımı olarak da bilinen Nefilim, veri hırsızlığı ile şifrelemeyi birleştirir. Nefilim'in saldırdığı hedefin 100'den fazla sistemi etkilenmişti. Sophos uzmanları, saldırganların fidye yazılımının yayınlanmasından dört hafta önce ele geçirdiği üst düzey erişime sahip bir yönetici hesabına yönelik orijinal saldırının izini sürmeyi başardı. Bu süre zarfında, siber suçlular fidye yazılımını serbest bırakmadan önce fark edilmeden ağda dolaşabildiler, bir etki alanı yönetici hesabının kimlik bilgilerini çalabildiler ve yüzlerce gigabaytlık veriyi sızdırarak sonunda sistemdeki varlığını ortaya çıkardılar.
Tüm bunları mümkün kılan saldırıya uğramış yönetici hesabı, ne yazık ki yaklaşık üç ay önce vefat eden bir çalışana aitti. Şirket, bir dizi hizmet için kullanıldığı için hesabı aktif tutmuştu.
“Fidye yazılımı, daha uzun bir saldırının son bileşenidir. Sophos Rapid Response Team yöneticisi Peter Mackenzie, "Bir kurumsal ağın kontrolünü elinde bulundurduğunu ve saldırının çoğunu tamamladığını nihai olarak ortaya çıkaran saldırgandır" dedi. "Fidye yazılımı faaliyetlerini aktif olarak ifşa etmemiş olsaydı, şirketin bilgisi olmadan saldırganların ağa etki alanı yönetici erişimine ne kadar süreyle sahip olacağını düşünüyorsunuz?"
"Unutulan" hesaplara ve erişim haklarına dikkat edin
Buradaki tehlike, sadece eski ve izlenmeyen hesapları aktif tutmak değil, aynı zamanda çalışanlara ihtiyaç duyduklarından daha fazla erişim hakkı vermektir. Mackenzie, "Şirketler, bir yönetici pozisyonuna sahip veya ağdan sorumlu birinin bir etki alanı yönetici hesabı kullanması gerektiğini hatalı bir şekilde varsayıyor" dedi. Tavsiyesi: "Ayrıcalıklara sahip hiçbir hesap, bu düzeyde erişim gerektirmeyen işler için varsayılan olarak kullanılmamalıdır. Kullanıcılar gerekli hesapları sadece gerektiğinde ve sadece o görev için kullanmalıdır.”
Ayrıca, etki alanı yönetici hesabının ne zaman kullanımda olduğunu veya yeni bir yönetici hesabı oluşturulduğunda bunu bilmek için uyarılar ayarlanmalıdır. Rapid Response ekibinin dahil olduğu daha önceki bir vaka bu noktayı doğrulamaktadır: Burada, bir saldırgan bir şirketin ağına erişmiş, yeni bir kullanıcı oluşturmuş ve bu hesabı Active Directory'deki "Domain Admin" grubuna eklemiştir. Herhangi bir uyarı verilmediğinden, yeni etki alanı yöneticisi hesabı yaklaşık 150 sanal sunucuyu sildi ve sunucu yedeklerini Microsoft BitLocker ile şifreledi.
Güvenli hesap yönetimi böyle çalışır
Sophos uzmanları, bir kuruluşun devam etmek için gerçekten eski bir hesaba ihtiyacı varsa, bir hizmet hesabı oluşturmalı ve istenmeyen etkinliği önlemek için etkileşimli girişleri reddetmelidir. Hesaba ihtiyaç kalmadığında devre dışı bırakılmalı ve Active Directory'nin düzenli denetimleri yapılmalıdır.
Hızlı Yanıt Ekibi, güvenli hesap yönetimi için aşağıdaki adımları önerir:
- Yalnızca belirli bir görev veya rol için gereken erişim haklarını verin
- Artık ihtiyaç duyulmayan hesapları devre dışı bırakın
- Ayrılan çalışanların hesaplarının aktif kalması gerekiyorsa, bir hizmet hesabı oluşturulmalı ve etkileşimli oturumlar reddedilmelidir.
- Active Directory'nin periyodik denetimleri: Active Directory denetim ilkeleri, yönetici hesabı etkinliğini izlemek veya etki alanı yöneticileri grubuna beklenmeyen bir hesap eklendiğinde rapor vermek üzere ayarlanabilir
- İdeal olarak Sophos Intercept X'te bulunanlar gibi fidye yazılımı önleme teknolojileriyle bir güvenlik çözümünün kullanılması
“Hesap ayrıntılarını takip etmek temel ve önemli bir siber güvenlik hijyenidir. Hesapların açıldığı, genellikle önemli erişim haklarına sahip olduğu ve daha sonra bazen yıllarca unutulduğu çok fazla olay görüyoruz. Bu tür 'hayalet hesaplar', saldırganlar için birincil hedeftir.”
Nefilim Ransomware hakkında arka plan bilgisi
Nefilim fidye yazılımı ilk olarak Mart 2020'de bildirildi. Diğer fidye yazılımı aileleri gibi, ör. B. Dharma, Nefilim temel olarak savunmasız Uzak Masaüstü Protokolü (RPD) sistemlerini ve açığa çıkan Citrix yazılımını hedefler. DoppelPaymer ve diğerlerinin yanı sıra, şifrelemeyi veri hırsızlığı ve kamuya ifşa etme riskiyle birleştiren saldırılarla "ikincil şantaj" adı verilen uygulama yapan, sayısı giderek artan fidye yazılımı ailelerinden biridir.
Sophos.com'da daha fazla bilgi edinin
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.