Secondo Sophos, gli account ancora attivi per le persone che hanno lasciato la tua organizzazione sono vulnerabili per lo sfruttamento da parte di malintenzionati.
I criminali informatici possono scegliere una varietà di modi per infiltrarsi e compromettere un’organizzazione come preludio al ransomware. Un metodo provato e vero è sfruttare un account amministratore. E se si tratta di un account che non viene più utilizzato da un dipendente ma è ancora disponibile, tanto meglio.
Un rapporto pubblicato dal fornitore di sicurezza Sophos spiega come uno dei suoi clienti è stato colpito da ransomware a causa di un account fantasma.
L’attacco
Un cliente Sophos non identificato ha contattato l’azienda dopo che un attacco ransomware ha colpito più di 100 dei suoi sistemi. Utilizzando il ransomware Nefilim (noto anche come Nemty ), gli aggressori avevano compromesso un account amministratore di alto livello un mese prima dell’attacco vero e proprio, secondo il team di Sophos Rapid Response.
Dopo aver ottenuto l’accesso all’account, gli aggressori hanno trascorso il mese a frugare nella rete dove hanno finito per rubare le credenziali per un account di amministratore di dominio. Dopo aver trovato i file che potevano tenere in ostaggio, sono stati in grado di esfiltrare centinaia di gigabyte di dati e quindi eseguire l’attacco.
“Il ransomware è il carico utile finale di un attacco più lungo”, ha affermato nel rapporto Peter Mackenzie, manager di Sophos Rapid Response. “È l’attaccante che ti dice che ha già il controllo della tua rete e ha portato a termine la maggior parte dell’attacco. È l’attaccante che dichiara la vittoria.”
Sophos ha affermato che il team di Rapid Response sapeva che i criminali che utilizzano il ransomware Nefilim in genere ottengono l’accesso alla rete tramite versioni vulnerabili di Citrix o del protocollo Remote Desktop di Microsoft. In questo caso, gli aggressori hanno sfruttato il software Citrix per compromettere l’account amministratore e quindi hanno utilizzato lo strumento di estrazione della password Mimikatz per rubare le credenziali per l’account amministratore del dominio.
Ma il vero punto della storia risiede nell’account amministratore compromesso. Alla domanda su chi fosse il proprietario dell’account sfruttato, il cliente ha scoperto che l’account apparteneva a un dipendente deceduto tre mesi prima del trasferimento iniziale da parte degli aggressori. L’account è stato mantenuto attivo perché era ancora utilizzato per determinati servizi. Di conseguenza, il team di Sophos ha dovuto capire quali aspetti dell’account erano legittimi e quali ora erano dannosi.
Lezioni imparate
Mantenere attivo un account per qualcuno che non è più in azienda è stato il primo errore. Se hai davvero bisogno di un tale account per motivi amministrativi, dovresti cambiarlo in un account di servizio e negare gli accessi interattivi per prevenire qualsiasi attività indesiderata. Se non hai più bisogno dell’account per nient’altro, disabilitalo ed esegui controlli regolari di Active Directory.
È possibile impostare criteri di controllo di Active Directory per monitorare l’attività dell’account amministratore e determinare se un account viene aggiunto al gruppo di amministrazione del dominio. Inoltre, pensaci due volte prima di configurare un account come amministratore di dominio.
“Poiché una persona è un dirigente o è responsabile della rete, la gente presume che debba utilizzare un account di amministratore di dominio”, ha detto Mackenzie. “Nessun account con privilegi dovrebbe essere utilizzato per impostazione predefinita per il lavoro che non richiede quel livello di accesso. Gli utenti dovrebbero elevarsi all’utilizzo degli account richiesti quando necessario e solo per quell’attività.”
Raccomandazioni
Per proteggere la tua organizzazione dalla compromissione a causa di account fantasma, Sophos offre i seguenti consigli:
- Concedi solo le autorizzazioni di accesso necessarie per un’attività o un ruolo specifico.
- Disabilita gli account non più necessari.
- Se è necessario mantenere un account attivo dopo che il proprietario originale ha lasciato l’organizzazione, implementarlo come account di servizio e negare gli accessi interattivi.
- Esegui controlli regolari di Active Directory.
- Disporre di una solida soluzione di sicurezza, idealmente con tecnologie anti-ransomware.