网络罪犯通常会使用暴力攻击、网络钓鱼电子邮件和现有的数据转储来侵入公司网络,但人们常常忽略的一个领域是:“幽灵”账户。
当一名员工离职时,无论是由于新工作机会出现、环境变化、疾病,还是不幸的死亡,他们的账户并不是都会从公司网络中被删除,这就给网络犯罪分子提供了一可乘之机。
在最近的一起案件中发现,网络犯罪分子正利用这种“幽灵”账户,积极传播勒索软件。
Sophos的网络取证小组“快速反应”(Rapid Response)周二在一项案例研究中发现,一家公司受到了Nemty勒索软件感染。
据Sophos称,该勒索软件——也被称为Nefilim——影响了100多个系统,并对有价值的文件进行了加密,要求付款以换取解密密钥。
Nemty于2019年首次被发现,它是一种勒索软件,即服务(RaaS)恶意软件的变种,可以在地下论坛中购买。在2020年,开发人员将Nemty私有化,保留代码的未来开发权供特定合作伙伴使用。
在对感染源的调查中,Sophos很快将最初的网络入侵范围缩小到一个高级管理员账户。在一个月的时间里,网络犯罪分子利用该账户悄悄浏览了公司的资源,获得了域名管理账户证书,并窃取了数百GB的数据。
网络安全团队询问了这个高级特权管理账户属于谁。受害公司表示,该账户属于一名前员工,他大约在网络入侵前三个月已经去世。
该公司没有撤销访问权限并关闭“幽灵”账户,而是选择让它保持活跃和开放,“因为它被用于某些服务。”
一旦网络攻击者完成了他们的侦察并拿走了所有有价值的东西,Nemty就被部署完成了。
快速响应经理彼得·麦肯兹(Peter Mackenzie)说:“勒索软件是长期攻击的最终有效载荷。这是攻击者在告诉您他们已经控制了您的网络,并且已经完成了大部分攻击。要想确定您是否受到了勒索软件攻击很容易,只要确定攻击者一周前就已经在您的网络上了即可。”
Sophos建议,在用户不需要的情况下,允许与公司资源保持连接的任何“幽灵帐户”都应该禁止使用交互式登录,如果确实需要该帐户,应该创建一个服务帐户来代替它。
此外,该团队表示,应该在全公司范围内实施零信任措施,以减少潜在的攻击面。(本文出自SCA安全通信联盟,转载请注明出处。)