Das Sophos-Rapid-Response-Team berichtet von zwei Angriffen durch die Nefilim-Ransomware, bei denen Konten ausgeschiedener Mitarbeiter für Angriffe missbraucht wurden.
Nefilim, auch bekannt als Nemty-Ransomware, kombiniert Datendiebstahl mit Verschlüsselung. Bei dem von Nefilim angegriffenen Ziel waren mehr als 100 Systeme betroffen. Die Sophos-Experten konnten den ursprünglichen Angriff auf ein Administratorkonto mit hochrangigem Zugriff zurückverfolgen, das die Angreifer mehr als vier Wochen vor der Veröffentlichung der Ransomware kompromittiert hatten. In dieser Zeit konnten sich die Cyberkriminellen unbemerkt durch das Netzwerk bewegen, Zugangsdaten für ein Domain-Administratorkonto stehlen und hunderte Gigabyte an Daten exfiltrieren, bevor sie die Ransomware freisetzten und so schließlich ihre Anwesenheit im System offenbarten.
Das gehackte Administratorkonto, über das all dies möglich geworden war, gehörte einem Mitarbeiter, der leider etwa drei Monate zuvor verstorben war. Das Unternehmen hatte das Konto aktiv gehalten, da es für eine Reihe von Diensten verwendet wurde.
„Ransomware ist die letzte Komponente in einem längeren Angriff. Es ist der Angreifer, der letztendlich offenbart, dass er bereits die Kontrolle über ein Unternehmensnetzwerk hat und den Großteil des Angriffs abgeschlossen ist,“ so Peter Mackenzie, Manager beim Sophos-Rapid-Response-Team. „Wenn die Ransomware ihre Aktivitäten nicht aktiv offen gelegt hätte, wie lange hätten die Angreifer wohl Domain-Admin-Zugriff auf das Netzwerk gehabt, ohne dass das Unternehmen davon gewusst hätte?“
Vorsicht vor vergessenen Konten und unnötigen Zugriffsrechten
Eine Gefahr besteht dabei nicht nur darin, veraltete und unüberwachte Konten aktiv zu halten, sondern auch darin, Mitarbeiter mehr Zugriffsrechte zu geben, als sie benötigen. „Unternehmen gehen fälschlicherweise davon aus, dass eine Person, die eine Führungsposition innehat oder für das Netzwerk verantwortlich ist, einen Domain-Admin-Account verwenden muss,“ so Mackenzie. Sein Rat: „Kein Konto mit Privilegien sollte standardmäßig für Arbeiten verwendet werden, die diese Zugriffsebene nicht erfordern. Benutzer sollten die erforderlichen Konten nur bei Bedarf und nur für diese Aufgabe verwenden.“
Zudem sollten Alarme so eingestellt werden, dass bekannt ist, wenn der Domain-Admin-Account verwendet wird oder ein neuer Admin-Account erstellt wird. Ein früherer Fall, zu dem das Rapid-Response-Team hinzugezogen wurde, bestätigt diesen Punkt.Hier verschaffte sich ein Angreifer Zugriff auf das Netzwerk eines Unternehmens, legte einen neuen Benutzer an und fügte dieses Konto der Gruppe „Domain Admin“ in Active-Directory hinzu. Da keinerlei Warnungen ausgelöst wurden, löschte das neue Domainadministratorkonto anschließend etwa 150 virtuelle Server und verschlüsselte die Server-Backups mit Microsoft-Bitlocker.
So kann sichere Kontenverwaltung klappen
Wenn eine Organisation ein veraltetes Konto tatsächlich weiterhin benötigt, sollte sie ein Dienstkonto einrichten und interaktive Logins verweigern, um unerwünschte Aktivitäten zu verhindern, so der Rat der Sophos-Experten. Wenn das Konto nicht mehr benötigt wird, sollte es deaktiviert und regelmäßige Audits des Active-Directory durchgeführt werden.
Das Rapid-Response-Team rät zu folgenden Schritten für eine sicher Kontenverwaltung:
- Nur die Zugriffsrechte gewähren, die für eine bestimmte Aufgabe oder Rolle benötigt werden.
- Nicht mehr benötigte Konten deaktivieren.
- Wenn Konten ausgeschiedener Mitarbeiter*innen aktiv bleiben müssen, sollte ein Dienstkonto eingerichtet und interaktive Anmeldungen verweigert werden.
- Regelmäßige Audits des Active-Directory: Active-Directory-Überprüfungsrichtlinien können so eingestellt werden, dass sie die Aktivität von Administratorkonten überwachen oder melden, wenn ein unerwartetes Konto zur Domänenadministratorgruppe hinzugefügt wird.
- Einsatz einer Sicherheitslösung, idealerweise mit Anti-Ransomware-Technologien, wie sie zum Beispiel in Sophos-Intercept-X enthalten sind.
„Kontodaten im Auge zu behalten, ist eine grundlegende, wichtige Cybersecurity-Hygiene. Wir sehen viel zu viele Vorfälle, bei denen Konten eingerichtet wurden, oft mit erheblichen Zugriffsrechten, die dann vergessen wurden, manchmal über Jahre hinweg. Solche `Geisterkonten´ sind ein bevorzugtes Ziel für Angreifer.“
Info: Nefilim-Ransomware
Über Nefilim-Ransomware wurde erstmals im März 2020 berichtet. Wie andere Ransomware-Familien, z. B. Dharma, zielt Nefilim hauptsächlich auf verwundbare Remote-Desktop-Protocol- (RPD)-Systeme sowie auf exponierte Citrix-Software. Sie gehört neben DoppelPaymer und anderen zu einer wachsenden Zahl von Ransomware-Familien, die sogenannte „sekundäre Erpressung“ betreiben, mit Angriffen, die Verschlüsselung mit Datendiebstahl und der Gefahr der öffentlichen Bloßstellung kombinieren.
Weitere Informationen zu den Vorfällen finden sich in „Nefilim Ransomware Attack Uses ‚Ghost‘ Credentials“: https://news.sophos.com/en-us/2021/01/26/nefilim-ransomware-attack-uses-ghost-credentials/
#Sophos