В течение месяца злоумышленники незаметно исследовали сеть компании, похищая учетные данные администратора домена и извлекая сотни гигабайт данных.
https://www.securitylab.ru/upload/ib...3c23db5e06.jpg
Киберпреступники часто используют брутфорс-атаки, фишинговые электронные письма и существующие дампы данных для проникновения в корпоративные сети, но есть еще один метод, который часто игнорируют компании — использование «учетных записей-призраков». Как сообщили специалисты из Sophos Rapid Response, хакеры используют аккаунты умерших сотрудников компаний для распространения программ-вымогателей.
В одном из случаев операторы программы-вымогателя Nemty (также известной как Nefilim) заразили более 100 систем, зашифровав ценные файлы и потребовав выкуп в обмен на ключ дешифрования. В ходе расследования источника заражения Sophos выявил исходное сетевое вторжение через учетную запись администратора. В течение месяца злоумышленники незаметно исследовали ресурсы компании, похищая учетные данные администратора домена и извлекая сотни гигабайт данных. По завершении кибератаки преступники похитили все ценное и развернули вымогатель Nemty.
Как выяснили ИБ-специалисты, учетная администратора принадлежала бывшему сотруднику, который скончался примерно за три месяца до кибератаки. Вместо того, чтобы отозвать доступ и закрыть «учетную запись-призрак», фирма решила оставить ее активной и открытой, «потому что были службы, для которых она использовалась».
Специалисты рекомендуют отключить интерактивную авторизацию для любой «учетной записи-призрака», которой разрешено оставаться подключенной к корпоративным ресурсам, когда пользователю она не нужна, или, если учетная запись действительно необходима, вместо нее следует создать другой аккаунт.