Ransomware-Angriff verwendet Anmeldeinformationen von „Geisterkonten“

Sophos Rapid Response Team berichtet von zwei Angriffen durch die Nefilim-Ransomware, bei denen Konten ausgeschiedener Mitarbeiter*innen für Angriffe missbraucht wurden 

Sophos veröffentlicht neue Erkenntnisse über Angriffe, die von seinem Rapid Response Team untersucht wurden. Der Artikel "Nefilim Ransomware Attack Uses ‚Ghost‘ Credentials" beschreibt, wie nicht überwachte Geisterkonten zwei Cyberattacken ermöglichte, von denen eine die Nefilim Ransomware betraf.

Vier Wochen unbemerkt im System

Nefilim, auch bekannt als Nemty Ransomware, kombiniert Datendiebstahl mit Verschlüsselung. Bei dem von Nefilim angegriffenen Ziel waren mehr als 100 Systeme betroffen. Die Sophos-Experten konnten den ursprünglichen Angriff auf ein Administratorkonto mit hochrangigem Zugriff zurückverfolgen, das die Angreifer mehr als vier Wochen vor der Veröffentlichung der Ransomware kompromittiert hatten. In dieser Zeit konnten sich die Cyberkriminellen unbemerkt durch das Netzwerk bewegen, Zugangsdaten für ein Domain-Administratorkonto stehlen und hunderte Gigabyte an Daten exfiltrieren, bevor sie die Ransomware freisetzten und so schließlich ihre Anwesenheit im System offenbarten.

Das gehackte Administratorkonto, über das all dies möglich geworden war, gehörte einem Mitarbeiter, der leider etwa drei Monate zuvor verstorben war. Das Unternehmen hatte das Konto aktiv gehalten, da es für eine Reihe von Diensten verwendet wurde.

"Ransomware ist die letzte Komponente in einem längeren Angriff. Es ist der Angreifer, der letztendlich offenbart, dass er bereits die Kontrolle über ein Unternehmensnetzwerk hat und den Großteil des Angriffs abgeschlossen ist,“ so Peter Mackenzie, Manager beim Sophos Rapid-Response-Team. „Wenn die Ransomware ihre Aktivitäten nicht aktiv offen gelegt  hätte, wie lange hätten die Angreifer wohl Domain-Admin-Zugriff auf das Netzwerk gehabt, ohne dass das Unternehmen davon gewusst hätte?“ 

Vorsicht vor `vergessenen´ Konten und unnötigen Zugriffsrechten

Eine Gefahr besteht dabei nicht nur darin, veraltete und unüberwachte Konten aktiv zu halten, sondern auch darin, Mitarbeiter*innen mehr Zugriffsrechte zu geben, als sie benötigen. „Unternehmen gehen fälschlicherweise davon aus, dass eine Person, die eine Führungs-position innehat oder für das Netzwerk verantwortlich ist, einen Domain-Admin-Account verwenden muss,“ so Mackenzie. Sein Rat: „Kein Konto mit Privilegien sollte standardmäßig für Arbeiten verwendet werden, die diese Zugriffsebene nicht erfordern. Benutzer sollten die erforderlichen Konten nur bei Bedarf und nur für diese Aufgabe verwenden."

Zudem sollten Alarme so eingestellt werden, dass bekannt ist, wenn der Domain-Admin-Account verwendet wird oder ein neuer Admin-Account erstellt wird. Ein früherer Fall, zu dem das Rapid-Response-Team hinzugezogen wurde, bestätigt diesen Punkt.Hier verschaffte sich ein Angreifer Zugriff auf das Netzwerk eines Unternehmens, legte einen neuen Benutzer an und fügte dieses Konto der Gruppe "Domain Admin" in Active Directory hinzu. Da keinerlei Warnungen ausgelöst wurden, löschte das neue Domainadministratorkonto anschließend etwa 150 virtuelle Server und verschlüsselte die Server-Backups mit Microsoft BitLocker.

So kann sichere Kontenverwaltung klappen

Wenn eine Organisation ein veraltetes Konto tatsächlich weiterhin benötigt, sollte sie ein Dienstkonto einrichten und interaktive Logins verweigern, um unerwünschte Aktivitäten zu verhindern, so der Rat der Sophos Experten. Wenn das Konto nicht mehr benötigt wird, sollte es deaktiviert und regelmäßige Audits des Active Directory durchgeführt werden.

Das Rapid Response Team rät zu folgenden Schritten für eine sicher Kontenverwaltung:

  • Nur die Zugriffsrechte gewähren, die für eine bestimmte Aufgabe oder Rolle benötigt werden
  • Nicht mehr benötigte Konten deaktivieren
  • Wenn Konten ausgeschiedener Mitarbeiter*innen aktiv bleiben müssen, sollte ein Dienstkonto eingerichtet und interaktive Anmeldungen verweigert werden
  • Regelmäßige Audits des Active Directory: Active Directory-Überprüfungsrichtlinien können so eingestellt werden, dass sie die Aktivität von Administratorkonten überwachen oder melden, wenn ein unerwartetes Konto zur Domänenadministratorgruppe hinzugefügt wird
  • Einsatz einer Sicherheitslösung, idealerweise mit Anti-Ransomware-Technologien, wie sie zum Beispiel in Sophos Intercept X enthalten sind

„Kontodaten im Auge zu behalten, ist eine grundlegende, wichtige Cybersecurity-Hygiene. Wir sehen viel zu viele Vorfälle, bei denen Konten eingerichtet wurden, oft mit erheblichen Zugriffsrechten, die dann vergessen wurden, manchmal über Jahre hinweg. Solche `Geisterkonten´ sind ein bevorzugtes Ziel für Angreifer.“

Über Nefilim Ransomware

Über Nefilim Ransomware wurde erstmals im März 2020 berichtet. Wie andere Ransomware-Familien, z. B. Dharma, zielt Nefilim hauptsächlich auf verwundbare Remote Desktop Protocol (RPD)-Systeme sowie auf exponierte Citrix-Software. Sie gehört neben DoppelPaymer und anderen zu einer wachsenden Zahl von Ransomware-Familien, die sogenannte "sekundäre Erpressung" betreiben, mit Angriffen, die Verschlüsselung mit Datendiebstahl und der Gefahr der öffentlichen Bloßstellung kombinieren.

Weitere Informationen zu den Vorfällen finden Sie in "Nefilim Ransomware Attack Uses ‚Ghost‘ Credentials": https://news.sophos.com/en-us/2021/01/26/nefilim-ransomware-attack-uses-ghost-credentials/

Firmenkontakt und Herausgeber der Meldung:

Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de

Ansprechpartner:
Arno Lücht
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
Thilo Christ
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
Ariane Wendt
Telefon: +1 (724) 536839
E-Mail: sophos@tc-communications.de
Ulrike Masztalerz
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Jörg Schindler
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel