網絡犯罪分子使用已故的員工賬户傳播Nemty勒索軟件

網絡罪犯通常會使用暴力攻擊、網絡釣魚電子郵件和現有的數據轉儲來侵入公司網絡，但是有一個領域經常被公司損害而被忽略：虛假帳户。

當員工離職時，無論是由於新的工作機會，環境的變化，生病，還是不幸的是死亡，都不總是將其帳户從公司網絡中刪除。

在Sophos網絡取證小組Rapid Response於週二記錄的一個案例研究中，一個組織受到 Nemty 勒索軟件的感染。

據Sophos稱，勒索軟件（也稱為Nefilim）影響了100多個系統，對有價值的文件進行加密並要求付款以換取解密密鑰。

Nemty於2019年首次被發現，是一種可以在地下論壇中購買的惡意軟件即服務（RaaS）變種。2020年，開發人員將Nemty私有化，為選定的合作伙伴保留了代碼的未來開發。

在對感染源進行調查期間，Sophos將原始網絡入侵範圍縮小到一個高級管理員帳户。在一個月的時間裏，威脅參與者悄悄地瀏覽了公司的資源，獲取域管理員帳户憑據並竊取了數百GB的數據。

一旦網絡攻擊者完成了偵察並獲得了所有有價值的東西，便部署了Nemty。

快速響應經理 Peter Mackenzie 説：“勒索軟件是長期攻擊的最終有效手段。攻擊者吿訴您他們已經控制了您的網絡並完成了大部分攻擊。識別您是否受到勒索軟件攻擊很容易，確定攻擊者一週前在您的網絡上就很重要。”

網絡安全團隊詢問高特權管理帳户屬於誰。受害者公司表示，該帳户屬於一名前員工，在網絡入侵發生前約三個月去世。

該公司沒有取消訪問並關閉“幽靈”帳户，而是選擇保持其活動狀態並“因為存在用於該服務的服務”而打開。

Sophos建議，一旦用户不需要任何允許其保持與公司資源連接的虛擬帳户，都應禁用交互式登錄，或者如果確實需要該帳户，則應代之以創建服務帳户。

此外，該團隊表示，應在全公司範圍內實施零信任措施，以減少潛在的攻擊面。