Sophos vysledoval Nefilim a další ransomwarové útoky až k uživatelským účtům „duchů“

Praha, 3. února 2021 Sophos, celosvětový lídr v řešeních kybernetického zabezpečení nové generace, publikoval svoje nejnovější zjištění o skutečném světě útoků, které odhalil tým Sophos Rapid Response. Zpráva „Útoky ransomwaru Nefilim využívají uživatelské účty „duchů“ detailně popisuje, jak chyby při pravidelné kontrole uživatelských účtů „duchů“ usnadnily dva nedávné kybernetické útoky, z nichž jeden zahrnoval ransomware Nefilim.

Nefilim, známý také jako ransomware Nemty, kombinuje odcizení dat s jejich šifrováním. Sledovaný cíl zasažený ransomwarem Nefilim měl více než 100 postižených systémů. Specialisté na reakci na útoky společnosti Sophos vystopovali počáteční narušení účtu administrátora s vysokou úrovní přístupových oprávnění, který útočníci napadli více než čtyři týdny před vypuštěním ransomwaru. Během této doby se útočníkům podařilo tiše pohybovat v síti, ukrást přihlašovací údaje k účtu správce domény a najít a exfiltrovat stovky GB dat, než spustili ransomware, který odhalil jejich přítomnost. Hacknutý administrátorský účet, který to umožnil, patřil zaměstnanci, který bohužel asi před třemi měsíci zemřel. Společnost ponechala účet aktivní, protože byl používán pro celou řadu služeb.

U druhého, nesouvisejícího útoku specialisté na reakci na hrozby společnosti Sophos zjistili, že vetřelci vytvořili nový uživatelský účet a přidali jej do skupiny pro správu domény v Active Directory společnosti, která byla cílem útoku. S tímto novým účtem správce domény mohli útočníci smazat přibližně 150 virtuálních serverů a zašifrovat zálohy serverů pomocí nástroje Microsoft BitLocker – to vše bez nutnosti deaktivovat výstrahy.

„Kdyby nebylo ransomwaru, který označil přítomnost vetřelců, jak dlouho by útočníci měli přístup k síti na úrovni správce domény, aniž by to společnost věděla?“ říká Peter Mackenzie, manažer Sophos Rapid Response. „Udržet si kontrolu nad přihlašovacími údaji k účtům je základní, ale kriticky důležitá součást kyberbezpečnostní hygieny. Vidíme příliš mnoho případů, kdy byly zřízeny účty, často se značnými přístupovými právy, na které se pak, někdy i na celé roky, zapomnělo. Tyto účty „duchů“ jsou hlavním cílem útočníků.“

„Pokud organizace opravdu potřebuje účet i poté, co někdo společnost opustil, měla by implementovat servisní účet a zakázat interaktivní přihlášení, aby zabránila jakékoli nežádoucí činnosti. Nebo, pokud účet pro nic jiného nepotřebuje, deaktivovat jej a provádějte pravidelné audity Active Directory.“

„Nebezpečné není jen udržovat zastaralé a nemonitorované účty aktivní, ale také udělovat zaměstnancům vyšší přístupová práva, než skutečně potřebují. Mnohem méně účtů, než si většina lidí obvykle myslí, musí být správcem domény. Ve výchozím nastavení by pro práci, která tuto úroveň přístupu nevyžaduje, neměl být používán žádný privilegovaný účet. Uživatelé by měli být na takové použití účtu povýšeni pouze v případě potřeby a pouze pro daný úkol. Dále je třeba nastavit výstrahy, aby se vždy někdo dozvěděl, že byl použit účet správce domény nebo že byl vytvořen nový.“ 

Ransomware Nefilim byl poprvé zaznamenán na březnu 2020. Stejně jako ostatní rodiny ransomwaru, jako třeba Dharma, cílí také Nefilim především na zranitelné systémy využívající Remote Desktop Protocol (RPD), stejně jako na nechráněný software Citrix. Jedná se o jednu z rostoucího počtu rodin ransomwaru, které vedle ransomwaru DoppelPaymer a dalších provádějí takzvané „sekundární vydírání“ prostřednictvím útoků kombinujících šifrování s krádeží dat a hrozbou jejich zveřejnění.

Další informace o těchto incidentech jsou popsány v článku Útoky ransomwaru Nefilim využívají uživatelské účty „duchů“.

Další zdroje

###

O společnosti Sophos

Jako celosvětový lídr v oblasti nové generace kybernetické bezpečnosti chrání Sophos více než 400 000 organizací všech velikostí ve více než 150 zemích před nejvyspělejšími kybernetickými hrozbami současnosti. S podporou globálního týmu pro zkoumání hrozeb a analýzu dat SophosLabs chrání řešení Sophos využívající cloud a umělou inteligenci jak koncové body (notebooky, servery a mobilní zařízení) tak i sítě před vyvíjejícími se technikami kybernetických útoků včetně ransomwaru, malwaru, exploitů, exfiltrování dat, narušení aktivními útočníky, phishingu atd. Cloudová platforma Sophos Central pro správu zabezpečení integruje celé portfolio nové generace produktů společnosti Sophos, včetně řešení pro koncové body Intercept X a nové generace firewallů XG, do jediného systému „synchronizovaného zabezpečení“ dostupného prostřednictvím sady API. Společnost Sophos provedla přechod k nové generaci kybernetického zabezpečení s využitím pokročilých možností cloudu, strojového učení, API, automatizace, řízené reakce na hrozby a dalších technologií, aby poskytovala nejlepší možnou úroveň ochrany organizacím všech velikostí. Sophos prodává své produkty a služby výhradně prostřednictvím globální sítě více než 53 000 partnerů a poskytovatelů řízených služeb. Prostřednictvím produktů Sophos Home zpřístupňuje Sophos své inovativní komerční technologie i koncovým zákazníkům. Sophos sídlí v britském Oxfordu a je veřejně obchodovatelnou společností na londýnské burze pod symbolem „SOPH“. Více informací naleznete na stránkách www.sophos.com.