網絡犯罪分子使用已故的員工賬戶傳播Nemty勒索軟件
研究人員探索了“幽靈”帳戶如何成為威脅參與者的目標
最近更新時間 2021-01-27 10:01:15
網絡罪犯通常會使用暴力攻擊、網絡釣魚電子郵件和現有的數據轉儲來侵入公司網絡,但是有一個領域經常被公司損害而被忽略:虛假帳戶。
當員工離職時,無論是由於新的工作機會,環境的變化,生病,還是不幸的是死亡,都不總是將其帳戶從公司網絡中刪除。
在Sophos網絡取證小組Rapid Response於週二記錄的一個案例研究中,一個組織受到 Nemty 勒索軟件的感染。
據Sophos稱,勒索軟件(也稱為Nefilim)影響了100多個系統,對有價值的文件進行加密並要求付款以換取解密密鑰。
Nemty於2019年首次被發現,是一種可以在地下論壇中購買的惡意軟件即服務(RaaS)變種。2020年,開發人員將Nemty私有化,為選定的合作伙伴保留了代碼的未來開發。
在對感染源進行調查期間,Sophos將原始網絡入侵範圍縮小到一個高級管理員帳戶。在一個月的時間裡,威脅參與者悄悄地瀏覽了公司的資源,獲取域管理員帳戶憑據並竊取了數百GB的數據。
一旦網絡攻擊者完成了偵察並獲得了所有有價值的東西,便部署了Nemty。
快速響應經理 Peter Mackenzie 說:“勒索軟件是長期攻擊的最終有效手段。攻擊者告訴您他們已經控制了您的網絡並完成了大部分攻擊。識別您是否受到勒索軟件攻擊很容易,確定攻擊者一週前在您的網絡上就很重要。”
網絡安全團隊詢問高特權管理帳戶屬於誰。受害者公司表示,該帳戶屬於一名前員工,在網絡入侵發生前約三個月去世。
該公司沒有取消訪問並關閉“幽靈”帳戶,而是選擇保持其活動狀態並“因為存在用於該服務的服務”而打開。
Sophos建議,一旦用戶不需要任何允許其保持與公司資源連接的虛擬帳戶,都應禁用交互式登錄,或者如果確實需要該帳戶,則應代之以創建服務帳戶。
此外,該團隊表示,應在全公司範圍內實施零信任措施,以減少潛在的攻擊面。