Программа-вымогатель Nemty — деньги на аккаунтах умерших сотрудников
Киберпреступники часто используют атаки методом перебора, фишинговые электронные письма и существующие дампы данных для проникновения в корпоративные сети, но есть одна область, которая часто игнорируется в ущерб компании: учетные записи-призраки.
Киберпреступники часто используют атаки методом перебора, фишинговые электронные письма и существующие дампы данных для проникновения в корпоративные сети, но есть одна область, которая часто игнорируется в ущерб компании: учетные записи-призраки.
Не всегда бывает так, что когда сотрудник увольняется с работы, будь то из-за нового предложения о работе, изменения обстоятельств, болезни или, в неблагоприятных случаях, смерти, его учетные записи удаляются из корпоративных сетей.
Этим недосмотром киберпреступники сейчас пользуются, а в недавнем случае активно использовали для распространения программ-вымогателей.
Программа-вымогатель Nemty
В тематическом исследовании, задокументированном кибер-криминалистической группой, организация обратилась за помощью после заражения вымогателем Nemty.
Согласно отчету, программа-вымогатель, также известная как Nefilim, затронула более 100 систем, зашифровав ценные файлы и потребовав оплаты в обмен на ключ дешифрования.
Nemty, впервые обнаруженный в 2019 году , представлял собой разновидность вредоносного ПО типа Ransomware-as-a-Service (RaaS), которое можно было купить на подпольных форумах. А в 2020 году разработчики взяли Nemty private, зарезервировав будущее развитие кода для избранных партнеров.
Во время расследования источника заражения, кибер-криминалисты сузили первоначальное сетевое вторжение до учетной записи администратора высокого уровня. В течение месяца злоумышленники незаметно исследовали ресурсы компании, получая учетные данные администратора домена и удаляя сотни гигабайт данных.
После того, как кибератаки завершили разведку и забрали все ценное, Nemty был развернут.
Программы-вымогатели — это последняя и полезная нагрузка в более длительной атаке, после чего злоумышленник сообщает вам, что он уже контролирует вашу сеть и завершил основную часть атаки. Выявить, что вы подверглись атаке программы-вымогателя, несложно, важно установить, что злоумышленник был в вашей сети неделей ранее.
Команда кибербезопасности спросила, кому принадлежит учетная запись администратора с высокими привилегиями. Компания-жертва заявила, что учетная запись принадлежала бывшему сотруднику, который скончался примерно за три месяца до киберинтрузии.
Вместо того, чтобы отозвать доступ и закрыть «призрачную» учетную запись, фирма решила оставить ее активной и открытой, потому что были услуги, для которых она использовалась.
Заключение
Специалисты советуют, любая призрачная учетная запись, которой разрешено оставаться подключенной к корпоративным ресурсам, должна иметь отключенные интерактивные логины, или, если учетная запись действительно нужна, вместо нее должна быть создана учетная запись службы.
Кроме того, команда утверждает, что меры нулевого доверия должны быть реализованы в масштабах всей компании, чтобы уменьшить потенциальные поверхности для атак.
В другом случае, новая учетная запись пользователя была тайно создана в корпоративной сети и добавлена в группу администраторов домена в Active Directory, и эта учетная запись использовалась для удаления примерно 150 виртуальных серверов и развертывания Microsoft BitLocker для шифрования существующих резервных копий серверов, что дало повод хакерам требовать выкуп.