Cómo las cuentas fantasma pueden dejar a su organización vulnerable al ransomware


Las cuentas activas para las personas que han dejado su organización están listas para ser explotadas, según Sophos.

computer-ghost.jpg

Michael Borgers, Getty Pictures / iStockphoto

Los ciberdelincuentes pueden elegir diversas formas de infiltrarse y poner en peligro una organización como preludio del ransomware. Un método probado y verdadero es explotar una cuenta de administrador. Y si es una cuenta que ya no está siendo utilizada por un empleado pero aún está disponible, tanto mejor. UN informe publicado el martes del proveedor de seguridad Sophos explica cómo uno de sus clientes fue atacado por ransomware debido a una cuenta fantasma.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

El ataque

Un cliente de Sophos no identificado se puso en contacto con la empresa después de que un ataque de ransomware afectara a más de 100 de sus sistemas. Usando los Nefilim (también conocido como Nemty) ransomware, los atacantes habían comprometido una cuenta de administrador de alto nivel un mes antes del ataque serious, según el equipo de Sophos Quick Response.

Después de obtener acceso a la cuenta, los atacantes pasaron el mes hurgando en la pink donde terminaron robando las credenciales de una cuenta de administrador de dominio. Al encontrar los archivos que podían tener como rehenes, pudieron exfiltrar cientos de gigabytes de datos y luego llevar a cabo el ataque.

«El ransomware es la carga útil final en un ataque más largo», dijo Peter Mackenzie, gerente de Sophos Quick Response, en el informe. «Es el atacante que le dice que ya tiene el management de su red y que ha terminado la mayor parte del ataque. Es el atacante que declara la victoria».

Sophos dijo que el equipo de Respuesta Rápida sabía que los criminales que usan el ransomware Nefilim generalmente obtienen acceso a la red a través de versiones vulnerables de Citrix o el Protocolo de escritorio remoto de Microsoft. En este caso, los atacantes explotaron el software package Citrix para comprometer la cuenta de administrador y luego utilizaron el Herramienta de extracción de contraseñas Mimikatz para robar las credenciales de la cuenta de administrador del dominio.

Pero el verdadero punto de la historia radica en la cuenta de administrador comprometida. Cuando se le preguntó quién era el propietario de la cuenta explotada, el cliente descubrió que la cuenta había pertenecido a un empleado que había fallecido tres meses antes del movimiento inicial de los atacantes. La cuenta se mantuvo activa porque todavía se usaba para ciertos servicios. Como resultado, el equipo de Sophos tuvo que averiguar qué aspectos de la cuenta eran legítimos y cuáles ahora eran maliciosos.

Lecciones aprendidas

Mantener activa la cuenta de alguien que ya no forma parte de la empresa fue el primer error. Si realmente necesita una cuenta de este tipo por razones administrativas, debe cambiarla a una cuenta de servicio y negar los inicios de sesión interactivos para evitar cualquier actividad no deseada. Si ya no necesita la cuenta para nada más, desactívela y ejecute auditorías periódicas de Energetic Directory.

Puede establecer políticas de auditoría de Lively Listing para monitorear la actividad de la cuenta de administrador y determinar si se agrega una cuenta al grupo de administradores de dominio. Aún más, piénselo dos veces antes de configurar una cuenta para ser administrador de dominio.

«La gente asume que porque una persona es un ejecutivo o está a cargo de la purple, necesita usar una cuenta de administrador de dominio», dijo Mackenzie. «Ninguna cuenta con privilegios debe usarse de forma predeterminada para trabajos que no requieran ese nivel de acceso. Los usuarios deben pasar al uso de las cuentas requeridas cuando sea necesario y solo para esa tarea».

Recomendaciones

Para evitar que su organización se vea comprometida debido a cuentas fantasma, Sophos ofrece los siguientes consejos:

  • Solo conceda los permisos de acceso necesarios para una tarea o función específica.
  • Desactive las cuentas que ya no son necesarias.
  • Si necesita mantener una cuenta activa después de que el propietario original haya dejado la organización, impleméntela como una cuenta de servicio y niegue los inicios de sesión interactivos.
  • Realice auditorías periódicas de Lively Directory.
  • Disponga de una sólida solución de seguridad, idealmente con tecnologías anti-ransomware.

Ver también



Enlace a la noticia authentic