Кіберзлочинці часто використовують атаки грубої сили, фішингові електронні листи та наявні дампи даних, щоб зламати у корпоративні мережі, але є одна сфера, яка часто ігнорується на шкоду компанії: привид облікові записи.
Безпека
- 8 звичок дуже безпечних віддалених працівників
- Як знайти та видалити шпигунське програмне забезпечення з телефону
- Найкращі служби VPN: як порівняти 5 найкращих?
- Як дізнатися, чи причетні ви до витоку даних, і що робити далі
Це не завжди так, коли співробітник залишає свою роботу, чи то через нову пропозицію роботи, зміни через обставини, хворобу або, у нещасних випадках, смерть, їхні облікові записи видаляються з корпоративних мережі.
Цим недоглядом зараз користуються кіберзлочинці, а в нещодавньому випадку вони активно використані для поширення програм-вимагачів.
в тематичне дослідження задокументовано групою кіберсудової експертизи Sophos Rapid Response у вівторок, організація звернулася після зараження програмою-вимагачем Nemty.
За даними Sophos, програма-вимагач, також відома як Nefilim, вразила понад 100 систем, шифруючи цінні файли та вимагаючи плату в обмін на ключ дешифрування.
Перший виявлено в 2019 році, Nemty був варіантом зловмисного програмного забезпечення Ransomware-as-a-Service (RaaS), яке можна було придбати на підпільних форумах. У 2020 році розробники зайнялися Nemty приватний, залишаючи подальший розвиток коду для вибраних партнерів.
Під час розслідування джерела зараження Sophos звузила початкове вторгнення в мережу до облікового запису адміністратора високого рівня. Протягом місяця зловмисники тихо досліджували ресурси компанії, отримуючи облікові дані адміністратора домену та викрадаючи дані на сотні гігабайт.
Після того, як кібератаки завершили розвідку та забрали все цінне, Nemty був розгорнутий.
«Програми-вимагачі — це останнє корисне навантаження в тривалій атаці», — зазначив Пітер Маккензі, менеджер служби швидкого реагування. «Це зловмисник говорить вам, що він уже контролює вашу мережу і завершив основну частину атаки. Визначити, що ви зазнали атаки програм-вимагачів, легко, ідентифікувати зловмисника у вашій мережі тижнем раніше – це те, що має значення».
Команда з кібербезпеки запитала, кому належить обліковий запис адміністрування з високим рівнем привілеїв. Компанія-жертва заявила, що обліковий запис належав колишньому співробітнику, який помер приблизно за три місяці до кібервторгнення.
Замість того, щоб скасувати доступ і закрити «примарний» обліковий запис, фірма вирішила залишити його активним і відкритим, «оскільки були послуги, для яких він використовувався».
Sophos пропонує, щоб будь-який обліковий запис-привид залишався підключеним до корпоративних ресурсів, коли користувачу це не потрібно має бути вимкнено інтерактивний вхід або, якщо обліковий запис дійсно потрібен, у ньому слід створити обліковий запис служби місце.
Крім того, команда каже, що заходи нульової довіри повинні бути впроваджені в усій компанії, щоб зменшити потенційні поверхні атак.
В іншому випадку, зареєстрованому Sophos, новий обліковий запис користувача було таємно створено в корпоративній мережі та додано до групи адміністратора домену в Active Directory, і цей обліковий запис використовувався для видалення приблизно 150 віртуальних серверів і розгортання Microsoft BitLocker для шифрування існуючих резервних копій серверів, посилюючи тиск для оплата.
Оновлення 16.03 GMT: додано деталі для додаткової ясності щодо двох прикладів.
Попереднє та супутнє покриття
-
Оператори програм-вимагачів тепер аутсорсують експлойти мережевого доступу, щоб прискорити атаки
-
Програми-вимагачі: настав час привести перевірки кібербезпеки до статусу GDPR
-
Жертви програм-вимагачів, які мають резервні копії, платять викупи, щоб зупинити витік хакерів із їхніх вкрадених даних
Є підказка? Безпечно зв’яжіться через WhatsApp | Сигнал за номером +447713 025 499 або на Keybase: charlie0