Ransomware-Angriff verwendet Anmeldeinformationen von „Geisterkonten“
Sophos veröffentlicht neue Erkenntnisse über Angriffe, die von seinem Rapid Response Team untersucht wurden. Der Artikel "Nefilim Ransomware Attack Uses ‚Ghost‘ Credentials" beschreibt, wie nicht überwachte Geisterkonten zwei Cyberattacken ermöglichte, von denen eine die Nefilim Ransomware betraf.
Vier Wochen unbemerkt im System
Nefilim, auch bekannt als Nemty Ransomware, kombiniert Datendiebstahl mit Verschlüsselung. Bei dem von Nefilim angegriffenen Ziel waren mehr als 100 Systeme betroffen. Die Sophos-Experten konnten den ursprünglichen Angriff auf ein Administratorkonto mit hochrangigem Zugriff zurückverfolgen, das die Angreifer mehr als vier Wochen vor der Veröffentlichung der Ransomware kompromittiert hatten. In dieser Zeit konnten sich die Cyberkriminellen unbemerkt durch das Netzwerk bewegen, Zugangsdaten für ein Domain-Administratorkonto stehlen und hunderte Gigabyte an Daten exfiltrieren, bevor sie die Ransomware freisetzten und so schließlich ihre Anwesenheit im System offenbarten.
Das gehackte Administratorkonto, über das all dies möglich geworden war, gehörte einem Mitarbeiter, der leider etwa drei Monate zuvor verstorben war. Das Unternehmen hatte das Konto aktiv gehalten, da es für eine Reihe von Diensten verwendet wurde.
"Ransomware ist die letzte Komponente in einem längeren Angriff. Es ist der Angreifer, der letztendlich offenbart, dass er bereits die Kontrolle über ein Unternehmensnetzwerk hat und den Großteil des Angriffs abgeschlossen ist,“ so Peter Mackenzie, Manager beim Sophos Rapid-Response-Team. „Wenn die Ransomware ihre Aktivitäten nicht aktiv offen gelegt hätte, wie lange hätten die Angreifer wohl Domain-Admin-Zugriff auf das Netzwerk gehabt, ohne dass das Unternehmen davon gewusst hätte?“
Vorsicht vor `vergessenen´ Konten und unnötigen Zugriffsrechten
Eine Gefahr besteht dabei nicht nur darin, veraltete und unüberwachte Konten aktiv zu halten, sondern auch darin, Mitarbeiter*innen mehr Zugriffsrechte zu geben, als sie benötigen. „Unternehmen gehen fälschlicherweise davon aus, dass eine Person, die eine Führungs-position innehat oder für das Netzwerk verantwortlich ist, einen Domain-Admin-Account verwenden muss,“ so Mackenzie. Sein Rat: „Kein Konto mit Privilegien sollte standardmäßig für Arbeiten verwendet werden, die diese Zugriffsebene nicht erfordern. Benutzer sollten die erforderlichen Konten nur bei Bedarf und nur für diese Aufgabe verwenden."
Zudem sollten Alarme so eingestellt werden, dass bekannt ist, wenn der Domain-Admin-Account verwendet wird oder ein neuer Admin-Account erstellt wird. Ein früherer Fall, zu dem das Rapid-Response-Team hinzugezogen wurde, bestätigt diesen Punkt.Hier verschaffte sich ein Angreifer Zugriff auf das Netzwerk eines Unternehmens, legte einen neuen Benutzer an und fügte dieses Konto der Gruppe "Domain Admin" in Active Directory hinzu. Da keinerlei Warnungen ausgelöst wurden, löschte das neue Domainadministratorkonto anschließend etwa 150 virtuelle Server und verschlüsselte die Server-Backups mit Microsoft BitLocker.
So kann sichere Kontenverwaltung klappen
Wenn eine Organisation ein veraltetes Konto tatsächlich weiterhin benötigt, sollte sie ein Dienstkonto einrichten und interaktive Logins verweigern, um unerwünschte Aktivitäten zu verhindern, so der Rat der Sophos Experten. Wenn das Konto nicht mehr benötigt wird, sollte es deaktiviert und regelmäßige Audits des Active Directory durchgeführt werden.
Das Rapid Response Team rät zu folgenden Schritten für eine sicher Kontenverwaltung:
- Nur die Zugriffsrechte gewähren, die für eine bestimmte Aufgabe oder Rolle benötigt werden
- Nicht mehr benötigte Konten deaktivieren
- Wenn Konten ausgeschiedener Mitarbeiter*innen aktiv bleiben müssen, sollte ein Dienstkonto eingerichtet und interaktive Anmeldungen verweigert werden
- Regelmäßige Audits des Active Directory: Active Directory-Überprüfungsrichtlinien können so eingestellt werden, dass sie die Aktivität von Administratorkonten überwachen oder melden, wenn ein unerwartetes Konto zur Domänenadministratorgruppe hinzugefügt wird
- Einsatz einer Sicherheitslösung, idealerweise mit Anti-Ransomware-Technologien, wie sie zum Beispiel in Sophos Intercept X enthalten sind
„Kontodaten im Auge zu behalten, ist eine grundlegende, wichtige Cybersecurity-Hygiene. Wir sehen viel zu viele Vorfälle, bei denen Konten eingerichtet wurden, oft mit erheblichen Zugriffsrechten, die dann vergessen wurden, manchmal über Jahre hinweg. Solche `Geisterkonten´ sind ein bevorzugtes Ziel für Angreifer.“
Über Nefilim Ransomware
Über Nefilim Ransomware wurde erstmals im März 2020 berichtet. Wie andere Ransomware-Familien, z. B. Dharma, zielt Nefilim hauptsächlich auf verwundbare Remote Desktop Protocol (RPD)-Systeme sowie auf exponierte Citrix-Software. Sie gehört neben DoppelPaymer und anderen zu einer wachsenden Zahl von Ransomware-Familien, die sogenannte "sekundäre Erpressung" betreiben, mit Angriffen, die Verschlüsselung mit Datendiebstahl und der Gefahr der öffentlichen Bloßstellung kombinieren.
Weitere Informationen zu den Vorfällen finden Sie in "Nefilim Ransomware Attack Uses ‚Ghost‘ Credentials": https://news.sophos.com/en-us/2021/01/26/nefilim-ransomware-attack-uses-ghost-credentials/
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com