A Sophos lenyomozta a Nefilim zsarolóvírust
A Nemty néven is ismert Nefilim zsarolóvírus adatlopással kombinálja a titkosítást. A Nefilim által megkárosított célpont esetében több, mint 100 rendszert érintett a támadás. A Sophos incidens kezelői a behatolás kiinduló pontját egy magas szintű hozzáféréssel rendelkező admin fiókig követték vissza, amelyet a hackerek több, mint négy héttel azelőtt kompromittáltak, hogy működésbe hozták volna a zsarolóvírus-t. Ez idő alatt a hackerek képesek voltaktitokban végig haladni a hálózaton, ellopni a domain admin fiók hozzáférési adatait, illetve felkutatni és megszerezni több száz gigabájtnyi adatot, mielőtt szabadjára engedték volna a jelenlétüket felfedő zsarolóvírus-t.
A feltört adminisztrátori fiók, amely ezt lehetővé tette, egy olyan dolgozóhoz tartozott, aki sajnos körülbelül három hónappal korábban elhunyt. A cég aktívan tartotta a fiókot, mivel több szolgáltatáshoz használták azt.
A második, nem kapcsolódó támadásban a Sophos esetkezelői azt találták, hogy a behatolók egy új felhasználói fiókot hoztak létre és hozzáadták a célpont domain-adminisztrátori csoportjához az Active Directoryban. Ezzel az új domainfiókkal a támadók képesek voltak törölni körülbelül 150 virtuális szervert és titkosítani a szerverek biztonsági másolatait a Microsoft Bitlocker használatával - mindezt riasztás nélkül.
“Ha a zsarolóvírus nem fedte volna fel a behatolók jelenlétét, meddig lehetett volna a támadóknak domain adminisztrátori hozzáférése a hálózathoz a cég tudtán kívül?” mondta Peter Mackenzie, a Sophos Rapid Response menedzsere. “A fiókok hozzáférési adatainak tudatos kezelése és szem előtt tartása alapvető, ám kritikus a digitális biztonsági “higiénia” szempontjából. Túl sok olyan incidenst látunk, amikor gyakran jelentős hozzáférési jogokkal bíró fiókokat hoznak létre, melyekről néha akár évekre elfeledkeznek. Ezek a “szellem” fiókok a támadók elsődleges célpontjai.”
“Ha egy szervezetnek valóban szüksége van egy fiókra, miután a hozzá tartozó személy távozott a cégtől, akkor létre kell hozni egy szervízfiókot és megtagadni az interaktív belépéseket, hogy megakadályozzanak bármilyen nem kívánt tevékenységet. Vagy ha más célból nincs szükségük a fiókra, letiltani azt és rendszeres auditokat végezni az Active Directoryn.”
“A veszélyt nem csak a régi és nem felügyelt fiókok aktívan tartása jelenti, hanem az is, ha a dolgozók bővebb hozzáférési jogosultságokban részesülnek, mint amire szükségük van. Kevesebb fióknak kell rendelkeznie domain adminisztrátori jogosultsággal, mint azt ahogy az emberek hinnék. Egy kiemelt jogosultsággal bíró fiókot sem lenne szabad munkára használni, amelynek nincs szüksége szüksége arra a hozzáférési szintre. A felhasználóknak csak akkor lenne szabad magasabb jogosultsághoz jutnia, amikor az szükséges, és csak az adott feladathoz. Továbbá riasztásokat kell beállítani, hogy amennyiben a domain adminisztrátori fiókot használják vagy új adminfiókot hoznak létre, akkor valaki tudjon róla.”
A Nefilim zsarolóvírusról először 2020 márciusában számoltak be. Más zsarolóvírus családokhoz hasonlóan, mint amilyen a Dharma is, a Nefilim főként sebezhető távoli asztali protokollt (Remote Dektop Protocol, RDP) használó rendszereket, valamint sérülékeny Citrix szoftvert céloz. A növekvő számú zsarolóvírus családok egyike, melyek a DoppelPaymerrel és más eszközökkel együtt úgynevezett “másodlagos zsaroláshoz” is használnak. Ezeknél a támadásoknál a titkosítást adatlopással és a nyilvánosságra hozatal fenyegetésével kombinálják.
