A Sophos, líder global em segurança cibernética de próxima geração, publicou recentemente suas últimas descobertas sobre ataques investigados por sua equipe de Resposta Rápida. O artigo “Ataque de Ransomware Nefilim usa credenciais ‘fantasmas’” detalha como uma falha em manter o controle de credenciais de contas “fantasmas” facilitou dois ciberataques recentes, um dos quais envolveu o ransomware Nefilim.

Nefilim, também conhecido como Nemty, combina roubo de dados com criptografia e o alvo atingido pelo ransomware teve mais de 100 sistemas impactados. As equipes de Resposta Rápida da Sophos rastrearam a invasão inicial em uma conta de administrador com acesso de alto nível que os cibercriminosos haviam comprometido mais de quatro semanas antes de liberarem o ransomware.

Durante esse tempo, os invasores foram capazes de se mover silenciosamente pela rede, roubar credenciais de uma conta de administrador de domínios, encontrar e extrair centenas de GB de dados, antes de liberarem o ransomware que revelou sua presença. A conta de administrador hackeada que permitiu isso pertencia a um funcionário que, infelizmente, faleceu cerca de três meses antes e a empresa manteve a conta ativa porque foi usada para vários serviços.

No segundo ataque, os funcionários da Sophos descobriram que os cibercriminosos criaram uma nova conta de usuário e a adicionaram ao grupo de administração de domínio do alvo no Active Directory. Com essa nova conta, eles foram capazes de excluir aproximadamente 150 servidores virtuais e criptografar os backups usando o Microsoft Bitlocker — tudo sem disparar alertas.

“Se não fosse pelo ransomware que sinalizou a presença de invasores, por quanto tempo eles teriam acesso de administrador de domínio à rede sem que a empresa soubesse?”, afirma Peter Mackenzie, gerente da Sophos Rapid Response. “Manter o controle das credenciais da conta é básico, mas é essencial para a higiene da segurança cibernética. Vemos muitos incidentes em que contas foram criadas, muitas vezes com direitos de acesso consideráveis, que depois são esquecidas por anos. Essas contas "fantasmas" são o principal alvo dos invasores”, completa.

“Se uma organização realmente precisa de uma conta depois que alguém sai da empresa, ela deve implementar uma conta de serviço e negar logins interativos para evitar qualquer atividade indesejada. Ou, se eles não precisarem da conta para mais nada, é importante desativá-las e fazer auditorias regulares do Active Directory”, conta Mackenzie. “O perigo não é apenas manter ativas contas desatualizadas e não monitoradas; também está dando aos funcionários mais direitos de acesso do que eles precisam. Nenhuma conta com privilégios deve ser usada por padrão para trabalhos que não requeiram esse nível de acesso. Os usuários devem passar a usar as contas quando necessário e apenas para essa tarefa. Além disso, os alertas devem ser definidos para que, se a conta do administrador do domínio for usada ou se uma nova criada, alguém saberá”, conclui o executivo.

O ransomware Nefilim foi relatado pela primeira vez em março de 2020. Seguindo o mesmo padrão de outras famílias de ransomware, como o Dharma, o Nefilim visa principalmente sistemas vulneráveis de Protocolo de Área de Trabalho Remota (RPD), bem como software Citrix exposto. Faz parte de um número crescente de famílias de ransomware, ao lado da DoppelPaymer e outras que se envolvem na chamada “extorsão secundária”, com ataques que combinam criptografia com roubo de dados e ameaças de exposição pública.

Sobre a Sophos

Como líder mundial em cibersegurança de próxima geração, a Sophos protege, das ameaças cibernéticas mais avançadas de hoje, aproximadamente 400.000 organizações de todos os tamanhos, em mais de 150 países. Desenvolvidas pelo SophosLabs - uma equipe global de inteligência de ameaças e ciência de dados - as soluções nativas de nuvem e aprimoradas por IA da Sophos protegem terminais (laptops, servidores e dispositivos móveis) e redes contra táticas e técnicas cibercriminosas em evolução, incluindo ransomware, malware, explorações, extração de dados, violações de adversários ativos, phishing e muito mais. A plataforma de gerenciamento nativa da nuvem, Sophos Central, integra todo o portfólio de produtos de primeira linha da Sophos, incluindo a solução Intercept X endpoint e XG Firewall de última geração, em um único sistema de "segurança sincronizada" acessível por meio de um conjunto de APIs. A Sophos está conduzindo uma transição para a cibersegurança de última geração, alavancando recursos avançados em nuvem, machine learning, APIs, automação, resposta gerenciada a ameaças e muito mais, para oferecer proteção de nível corporativo a organizações de todos os tamanhos. Os produtos da Sophos estão disponíveis exclusivamente através de um canal global, com mais de 53,000 parceiros e provedores de serviços gerenciados (MSPs). A Sophos também disponibiliza inovadoras tecnologias comerciais aos clientes via Sophos Home. A empresa tem sede em Oxford, Reino Unido.