Hacknutý administrátorský účet patřil zaměstnanci, jenž před třemi měsíci zemřel.
Sophos publikoval studii popisující útoky ransomwaru Nefilim a to, jak chyby při pravidelné kontrole uživatelských účtů „duchů“ usnadnily dva nedávné kybernetické útoky.
Nefilim, známý také jako ransomware Nemty, kombinuje odcizení dat s jejich šifrováním. Sledovaný cíl zasažený ransomwarem Nefilim měl více než 100 postižených systémů. Specialisté na reakci na útoky společnosti Sophos vystopovali počáteční narušení účtu administrátora s vysokou úrovní přístupových oprávnění, který útočníci napadli více než čtyři týdny před vypuštěním ransomwaru. Během této doby se útočníkům podařilo tiše pohybovat v síti, ukrást přihlašovací údaje k účtu správce domény a najít a exfiltrovat stovky GB dat, než spustili ransomware, který odhalil jejich přítomnost. Hacknutý administrátorský účet, který to umožnil, patřil zaměstnanci, jenž před třemi měsíci zemřel. Společnost ponechala účet aktivní, protože byl používán pro celou řadu služeb.
U druhého, nesouvisejícího útoku specialisté na reakci na hrozby společnosti Sophos zjistili, že vetřelci vytvořili nový uživatelský účet a přidali jej do skupiny pro správu domény v Active Directory společnosti, která byla cílem útoku. S tímto novým účtem správce domény mohli útočníci smazat přibližně 150 virtuálních serverů a zašifrovat zálohy serverů pomocí nástroje Microsoft BitLocker – to vše bez nutnosti deaktivovat výstrahy.
„Kdyby nebylo ransomwaru, který označil přítomnost vetřelců, jak dlouho by útočníci měli přístup k síti na úrovni správce domény, aniž by to společnost věděla?“ říká Peter Mackenzie, manažer Sophos Rapid Response. „Udržet si kontrolu nad přihlašovacími údaji k účtům je základní, ale kriticky důležitá součást kyberbezpečnostní hygieny. Vidíme příliš mnoho případů, kdy byly zřízeny účty, často se značnými přístupovými právy, na které se pak, někdy i na celé roky, zapomnělo. Tyto účty „duchů“ jsou hlavním cílem útočníků.“
Pokud organizace opravdu potřebuje účet i poté, co někdo společnost opustil, měla by implementovat servisní účet a zakázat interaktivní přihlášení, aby zabránila jakékoli nežádoucí činnosti. Nebo, pokud účet pro nic jiného nepotřebuje, deaktivovat jej a provádějte pravidelné audity Active Directory, doporučuje Sophos. Nebezpečné není jen udržovat zastaralé a nemonitorované účty aktivní, ale také udělovat zaměstnancům vyšší přístupová práva, než skutečně potřebují.
Ransomware Nefilim byl poprvé zaznamenán na březnu 2020. Nefilim cílí především na zranitelné systémy využívající Remote Desktop Protocol (RPD), stejně jako na nechráněný software Citrix. Jedná se o jednu z rostoucího počtu rodin ransomwaru, které provádějí tzv. sekundární vydírání prostřednictvím útoků kombinujících zašifrování s krádeží dat a hrozbou jejich zveřejnění.
“ najít a exfiltrovat stovky GB dat, než spustili ransomware, který odhalil jejich přítomnost. Hacknutý administrátorský účet, který to umožnil, patřil zaměstnanci, jenž před třemi měsíci zemřel. Společnost ponechala účet aktivní, protože byl používán pro celou řadu služeb.“
Tak to naozaj neviem, načo by bolo treba nechať nejaký účet aktívny…že cez neho šla celá řada služeb…? A ešte tomu tomu účtu mohli pravidelne meniť heslo. V nejakých serverových verziách Windows je naozaj hračka sa dostať k prihlasovacím údajom nejakého konta?
A IT zamestnanci majú mať okrem iného na starosti, aby monitorovali traffic na sieti či cez výstupnú gateway…a pri prenose už len niekoľko málo GB dát aby sa nato zamerali a celé pokračovanie takej činnosti znemožnili!
Nie som admin, ale od 1993 čo som mal prvú 286 a kopy prečítaných časopisov typu PC world či PC chips o týchto incidentoch niečo viem…a myslím že stačí mať bud hw či sw firewall typu Comodo, čo som mal roky nainštalovaný na Win2000 a jednoducho také riešenie je dosť spoľahlivé nato, aby sa mi niekto zvonku netúlal po sieti!
A prečo na týchto zaujímavých portáloch nikto nediskutuje? pane Houser, aká je čítanosť/návštevnosť týchto site???
a ešte komentár čeká na schválení?…čo Vám tu šibká?…však som nepoužil jediné blbé slovo?!!!
pane Houser, vidím ,že tu to nemá žiadnu cenu, idem rovno na sciencemag…tam aspoň neni cenzúra!