Sophos publikoval svoje nejnovější zjištění o skutečném světě útoků, které odhalil tým Sophos Rapid Response. Zpráva „Útoky ransomwaru Nefilim využívají uživatelské účty „duchů“ detailně popisuje, jak chyby při pravidelné kontrole uživatelských účtů „duchů“ usnadnily dva nedávné kybernetické útoky, z nichž jeden zahrnoval ransomware Nefilim.

Nefilim, známý také jako ransomware Nemty, kombinuje odcizení dat s jejich šifrováním. Sledovaný cíl zasažený ransomwarem Nefilim měl více než 100 postižených systémů. Specialisté na reakci na útoky společnosti Sophos vystopovali počáteční narušení účtu administrátora s vysokou úrovní přístupových oprávnění, který útočníci napadli více než čtyři týdny před vypuštěním ransomwaru. Během této doby se útočníkům podařilo tiše pohybovat v síti, ukrást přihlašovací údaje k účtu správce domény a najít a exfiltrovat stovky GB dat, než spustili ransomware, který odhalil jejich přítomnost. Hacknutý administrátorský účet, který to umožnil, patřil zaměstnanci, který bohužel asi před třemi měsíci zemřel. Společnost ponechala účet aktivní, protože byl používán pro celou řadu služeb.

U druhého, nesouvisejícího útoku specialisté na reakci na hrozby společnosti Sophos zjistili, že vetřelci vytvořili nový uživatelský účet a přidali jej do skupiny pro správu domény v Active Directory společnosti, která byla cílem útoku. S tímto novým účtem správce domény mohli útočníci smazat přibližně 150 virtuálních serverů a zašifrovat zálohy serverů pomocí nástroje Microsoft BitLocker – to vše bez nutnosti deaktivovat výstrahy.

„Kdyby nebylo ransomwaru, který označil přítomnost vetřelců, jak dlouho by útočníci měli přístup k síti na úrovni správce domény, aniž by to společnost věděla?“ říká Peter Mackenzie, manažer Sophos Rapid Response. „Udržet si kontrolu nad přihlašovacími údaji k účtům je základní, ale kriticky důležitá součást kyberbezpečnostní hygieny. Vidíme příliš mnoho případů, kdy byly zřízeny účty, často se značnými přístupovými právy, na které se pak, někdy i na celé roky, zapomnělo. Tyto účty „duchů“ jsou hlavním cílem útočníků.“

„Pokud organizace opravdu potřebuje účet i poté, co někdo společnost opustil, měla by implementovat servisní účet a zakázat interaktivní přihlášení, aby zabránila jakékoli nežádoucí činnosti. Nebo, pokud účet pro nic jiného nepotřebuje, deaktivovat jej a provádějte pravidelné audity Active Directory.“

„Nebezpečné není jen udržovat zastaralé a nemonitorované účty aktivní, ale také udělovat zaměstnancům vyšší přístupová práva, než skutečně potřebují. Mnohem méně účtů, než si většina lidí obvykle myslí, musí být správcem domény. Ve výchozím nastavení by pro práci, která tuto úroveň přístupu nevyžaduje, neměl být používán žádný privilegovaný účet. Uživatelé by měli být na takové použití účtu povýšeni pouze v případě potřeby a pouze pro daný úkol. Dále je třeba nastavit výstrahy, aby se vždy někdo dozvěděl, že byl použit účet správce domény nebo že byl vytvořen nový.“

Ransomware Nefilim byl poprvé zaznamenán na březnu 2020. Stejně jako ostatní rodiny ransomwaru, jako třeba Dharma, cílí také Nefilim především na zranitelné systémy využívající Remote Desktop Protocol (RPD), stejně jako na nechráněný software Citrix. Jedná se o jednu z rostoucího počtu rodin ransomwaru, které vedle ransomwaru DoppelPaymer a dalších provádějí takzvané „sekundární vydírání“ prostřednictvím útoků kombinujících šifrování s krádeží dat a hrozbou jejich zveřejnění.