Αποτυγχάνοντας να παρακολουθήσουν στενά τα “διαπιστευτήρια” ή τα ανενεργά διαπιστευτήρια λογαριασμού, οι οργανισμοί αφήνουν τον εαυτό τους ανοιχτό σε κυβερνοεπιθέσεις σύμφωνα με νέα έρευνα της Sophos.
Η ομάδα Rapid Response της εταιρείας cybersecurity έχει δημοσιεύσει νέα ευρήματα σχετικά με τον τρόπο με τον οποίο οι λογαριασμοί φαντασμάτων χρησιμοποιήθηκαν για να δώσουν στους κυβερνοεγκληματίες έναν τρόπο εισόδου στα εταιρικά δίκτυα κατά τη διάρκεια δύο πρόσφατων επιθέσεων.
Η πρώτη επίθεση, η οποία επηρέασε περισσότερα από 100 συστήματα στη στοχευμένη εταιρεία, χρησιμοποίησε το Nefilm ή το Nemty ransomware για να βρει και να διεισδύσει εκατοντάδες gigabytes δεδομένων. Ωστόσο, οι ανταποκριτές της Sophos μπόρεσαν να εντοπίσουν την αρχική εισβολή σε έναν λογαριασμό διαχειριστή με πρόσβαση υψηλού επιπέδου που οι εισβολείς είχαν συμβιβαστεί περισσότερο από τέσσερις εβδομάδες πριν κρυπτογραφήσουν τα συστήματα της εταιρείας με ransomware.
Σε αυτήν την περίπτωση ο λογαριασμός φάντασμα ανήκε σε έναν υπάλληλο που είχε πεθάνει τρεις μήνες πριν από την επίθεση. Ωστόσο, η εταιρεία είχε διατηρήσει τον λογαριασμό ενεργό ακόμη και μετά την αποχώρηση του υπαλλήλου, επειδή χρησιμοποιήθηκε για διάφορες υπηρεσίες.
Λογαριασμοί φαντασμάτων
Στη δεύτερη, άσχετη επίθεση, οι ανταποκριτές της Sophos ανακάλυψαν ότι οι εγκληματίες του κυβερνοχώρου είχαν δημιουργήσει έναν νέο λογαριασμό χρήστη και τον πρόσθεσαν στην ομάδα διαχείρισης τομέα του στοχευμένου οργανισμού στον Active Directory.
Με τη χρήση αυτού του νέου λογαριασμού διαχειριστή τομέα, οι εισβολείς μπόρεσαν να διαγράψουν περίπου 150 εικονικούς διακομιστές και να κρυπτογραφήσουν τα αντίγραφα ασφαλείας του διακομιστή χρησιμοποιώντας το Microsoft Bitlocker χωρίς να προκαλέσουν ειδοποιήσεις.
Ο διευθυντής της ταχείας απάντησης Sophos Peter Mackenzie παρείχε περαιτέρω πληροφορίες σε ένα δελτίο τύπου σχετικά με το πώς οι οργανισμοί μπορούν να αποτρέψουν τη χρήση λογαριασμών φαντασμάτων εναντίον τους, λέγοντας:
«Η διατήρηση των διαπιστευτηρίων λογαριασμού είναι βασική, αλλά κρίσιμη υγιεινή στον κυβερνοχώρο. Βλέπουμε πάρα πολλά περιστατικά όπου έχουν δημιουργηθεί λογαριασμοί, συχνά με σημαντικά δικαιώματα πρόσβασης, τα οποία στη συνέχεια ξεχνιούνται, μερικές φορές για χρόνια. Τέτοιοι λογαριασμοί «φάντασμα» αποτελούν πρωταρχικό στόχο για τους εισβολείς. Εάν ένας οργανισμός χρειάζεται πραγματικά έναν λογαριασμό αφού κάποιος αποχωρήσει από την εταιρεία, θα πρέπει να εφαρμόσει έναν λογαριασμό υπηρεσίας και να αρνηθεί διαδραστικές συνδέσεις για να αποτρέψει οποιαδήποτε ανεπιθύμητη δραστηριότητα. Ή, εάν δεν χρειάζονται τον λογαριασμό για οτιδήποτε άλλο, απενεργοποιήστε τον και διενεργήστε τακτικούς ελέγχους του Active Directory. “