网络犯罪分子使用已故的员工账户传播Nemty勒索软件
研究人员探索了“幽灵”帐户如何成为威胁参与者的目标
最近更新时间 2021-01-27 10:01:15
网络罪犯通常会使用暴力攻击、网络钓鱼电子邮件和现有的数据转储来侵入公司网络,但是有一个领域经常被公司损害而被忽略:虚假帐户。
当员工离职时,无论是由于新的工作机会,环境的变化,生病,还是不幸的是死亡,都不总是将其帐户从公司网络中删除。
在Sophos网络取证小组Rapid Response于周二记录的一个案例研究中,一个组织受到 Nemty 勒索软件的感染。
据Sophos称,勒索软件(也称为Nefilim)影响了100多个系统,对有价值的文件进行加密并要求付款以换取解密密钥。
Nemty于2019年首次被发现,是一种可以在地下论坛中购买的恶意软件即服务(RaaS)变种。2020年,开发人员将Nemty私有化,为选定的合作伙伴保留了代码的未来开发。
在对感染源进行调查期间,Sophos将原始网络入侵范围缩小到一个高级管理员帐户。在一个月的时间里,威胁参与者悄悄地浏览了公司的资源,获取域管理员帐户凭据并窃取了数百GB的数据。
一旦网络攻击者完成了侦察并获得了所有有价值的东西,便部署了Nemty。
快速响应经理 Peter Mackenzie 说:“勒索软件是长期攻击的最终有效手段。攻击者告诉您他们已经控制了您的网络并完成了大部分攻击。识别您是否受到勒索软件攻击很容易,确定攻击者一周前在您的网络上就很重要。”
网络安全团队询问高特权管理帐户属于谁。受害者公司表示,该帐户属于一名前员工,在网络入侵发生前约三个月去世。
该公司没有取消访问并关闭“幽灵”帐户,而是选择保持其活动状态并“因为存在用于该服务的服务”而打开。
Sophos建议,一旦用户不需要任何允许其保持与公司资源连接的虚拟帐户,都应禁用交互式登录,或者如果确实需要该帐户,则应代之以创建服务帐户。
此外,该团队表示,应在全公司范围内实施零信任措施,以减少潜在的攻击面。