Команда швидкого реагування Sophos повідомляє про дві атаки програми-вимагача Nefilim, під час яких для атак використовувалися облікові записи пенсіонерів.
Sophos публікує нові відомості про атаки, розслідувані її групою швидкого реагування. У статті «Atack Ransomware Attack Nefilim Ransomware Uses 'Ghost' Credentials» описується, як неконтрольовані облікові записи-привиди спричинили дві кібератаки, одна з яких вплинула на програму-вимагач Nefilim.
Чотири тижні непомітно в системі
Nefilim, також відомий як програма-вимагач Nemty, поєднує крадіжку даних із шифруванням. Ціль, яку атакували Нефіліми, постраждала понад 100 систем. Експерти Sophos змогли відстежити оригінальну атаку на обліковий запис адміністратора з доступом високого рівня, який зловмисники зламали більш ніж за чотири тижні до випуску програми-вимагача. За цей час кіберзлочинці змогли непоміченими пересуватися мережею, викрасти облікові дані для облікового запису адміністратора домену та викрасти сотні гігабайт даних перед тим, як запустити програму-вимагач, зрештою виявивши її присутність у системі.
Зламаний обліковий запис адміністратора, завдяки якому все це стало можливим, належав співробітнику, який, на жаль, помер приблизно три місяці тому. Компанія залишала обліковий запис активним, оскільки він використовувався для ряду послуг.
«Програми-вимагачі є останнім компонентом тривалої атаки. Саме зловмисник зрештою виявляє, що він уже контролює корпоративну мережу та завершив більшу частину атаки», — сказав Пітер Маккензі, менеджер групи швидкого реагування Sophos. «Якби програма-вимагач активно не розкривала свою діяльність, як довго, на вашу думку, зловмисники мали б доступ адміністратора домену до мережі без відома компанії?»
Остерігайтеся «забутих» облікових записів і прав доступу
Небезпека полягає не лише у збереженні застарілих і неконтрольованих облікових записів активними, а й у наданні працівникам більших прав доступу, ніж їм потрібно. «Компанії помилково припускають, що хтось, хто займає керівну посаду або відповідає за мережу, повинен використовувати обліковий запис адміністратора домену», — сказав Маккензі. Його порада: «Жоден обліковий запис із привілеями не повинен використовуватися за умовчанням для роботи, яка не потребує такого рівня доступу. Користувачі повинні використовувати потрібні облікові записи лише за потреби та лише для цього завдання».
Також слід налаштувати сповіщення, щоб знати, коли обліковий запис адміністратора домену використовується або коли створюється новий обліковий запис адміністратора. Попередній випадок за участю групи швидкого реагування підтверджує це. Тут зловмисник отримав доступ до мережі компанії, створив нового користувача та додав цей обліковий запис до групи «Адміністратор домену» в Active Directory. Оскільки попереджень не надходило, новий обліковий запис адміністратора домену видалив близько 150 віртуальних серверів і зашифрував резервні копії серверів за допомогою Microsoft BitLocker.
Ось як працює безпечне керування обліковим записом
Якщо організації справді потрібен застарілий обліковий запис, щоб продовжити роботу, їй слід створити обліковий запис служби та заборонити інтерактивний вхід, щоб запобігти небажаній активності, радять експерти Sophos. Коли обліковий запис більше не потрібен, його слід деактивувати та проводити регулярні аудити Active Directory.
Команда швидкого реагування рекомендує наступні кроки для безпечного керування обліковим записом:
- Надайте лише права доступу, необхідні для певного завдання чи ролі
- Деактивуйте облікові записи, які більше не потрібні
- Якщо облікові записи звільнених співробітників повинні залишатися активними, слід створити обліковий запис служби та заборонити інтерактивний вхід
- Періодичні аудити Active Directory: політики аудиту Active Directory можна налаштувати для моніторингу активності облікового запису адміністратора або звітування про неочікуване додавання облікового запису до групи адміністраторів домену
- Використання рішення безпеки, в ідеалі з технологіями захисту від програм-вимагачів, такими як ті, що є в Sophos Intercept X
«Відстеження даних облікового запису є базовою важливою гігієною кібербезпеки. Ми бачимо надто багато інцидентів, коли облікові записи були створені, часто зі значними правами доступу, про які потім забули, іноді на роки. Такі «примарні облікові записи» є основною мішенню для зловмисників».
Довідкова інформація про програму-вимагач Nefilim
Вперше про програму-вимагач Nefilim було повідомлено в березні 2020 року. Як і інші сімейства програм-вимагачів, напр. B. Dharma, Nefilim головним чином націлений на вразливі системи протоколу віддаленого робочого столу (RPD), а також на розкрите програмне забезпечення Citrix. Це одна із зростаючої кількості сімей програм-вимагачів, поряд з DoppelPaymer та іншими, які практикують так званий «вторинний шантаж» з атаками, які поєднують шифрування з крадіжкою даних і ризиком публічного викриття.
Дізнайтесь більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.