A Sophos publicou recentemente suas últimas descobertas sobre ataques investigados por sua equipe de Resposta Rápida. O artigo “Ataque de Ransomware Nefilim usa credenciais ‘fantasmas’” detalha como uma falha em manter o controle de credenciais de contas “fantasmas” facilitou dois ciberataques recentes, um dos quais envolveu o ransomware Nefilim.
Nefilim, também conhecido como Nemty, combina roubo de dados com criptografia e o alvo atingido pelo ransomware teve mais de 100 sistemas impactados. As equipes de Resposta Rápida da Sophos rastrearam a invasão inicial em uma conta de administrador com acesso de alto nível que os cibercriminosos haviam comprometido mais de quatro semanas antes de liberarem o ransomware.
Durante esse tempo, os invasores foram capazes de se mover silenciosamente pela rede, roubar credenciais de uma conta de administrador de domínios, encontrar e extrair centenas de GB de dados, antes de liberarem o ransomware que revelou sua presença. A conta de administrador hackeada que permitiu isso pertencia a um funcionário que, infelizmente, faleceu cerca de três meses antes e a empresa manteve a conta ativa porque foi usada para vários serviços.
No segundo ataque, os funcionários da Sophos descobriram que os cibercriminosos criaram uma nova conta de usuário e a adicionaram ao grupo de administração de domínio do alvo no Active Directory. Com essa nova conta, eles foram capazes de excluir aproximadamente 150 servidores virtuais e criptografar os backups usando o Microsoft Bitlocker — tudo sem disparar alertas.
“Se não fosse pelo ransomware que sinalizou a presença de invasores, por quanto tempo eles teriam acesso de administrador de domínio à rede sem que a empresa soubesse?”, afirma Peter Mackenzie, gerente da Sophos Rapid Response. “Manter o controle das credenciais da conta é básico, mas é essencial para a higiene da segurança cibernética. Vemos muitos incidentes em que contas foram criadas, muitas vezes com direitos de acesso consideráveis, que depois são esquecidas por anos. Essas contas “fantasmas” são o principal alvo dos invasores”, completa.
“Se uma organização realmente precisa de uma conta depois que alguém sai da empresa, ela deve implementar uma conta de serviço e negar logins interativos para evitar qualquer atividade indesejada. Ou, se eles não precisarem da conta para mais nada, é importante desativá-las e fazer auditorias regulares do Active Directory”, conta Mackenzie. “O perigo não é apenas manter ativas contas desatualizadas e não monitoradas; também está dando aos funcionários mais direitos de acesso do que eles precisam. Nenhuma conta com privilégios deve ser usada por padrão para trabalhos que não requeiram esse nível de acesso. Os usuários devem passar a usar as contas quando necessário e apenas para essa tarefa. Além disso, os alertas devem ser definidos para que, se a conta do administrador do domínio for usada ou se uma nova criada, alguém saberá”, conclui o executivo.
O ransomware Nefilim foi relatado pela primeira vez em março de 2020. Seguindo o mesmo padrão de outras famílias de ransomware, como o Dharma, o Nefilim visa principalmente sistemas vulneráveis de Protocolo de Área de Trabalho Remota (RPD), bem como software Citrix exposto. Faz parte de um número crescente de famílias de ransomware, ao lado da DoppelPaymer e outras que se envolvem na chamada “extorsão secundária”, com ataques que combinam criptografia com roubo de dados e ameaças de exposição pública.
