Pesquisadores de segurança cibernética têm alertado para o aumento das atividades do novo ransomware Nefilim, também conhecido como Nemty, que opera com ataques de dupla extorsão ao combinar roubo de dados com criptografia e exigência de pagamento de resgate e ameaças de vazamento dos dados.
Em artigo publicado na semana passada em seu site, a empresa de cibesegurança Sophos detalha como uma falha em manter o controle de credenciais de contas “fantasmas” facilitou dois ciberataques recentes, um dos quais envolveu o Nefilim. O ransomware afetou mais de 100 sistemas.
As equipes de resposta rápida da Sophos rastrearam a invasão inicial em uma conta de administrador com acesso de alto nível que os cibercriminosos haviam comprometido mais de quatro semanas antes de liberarem o ransomware.
Durante esse tempo, os invasores foram capazes de se mover silenciosamente pela rede, roubar credenciais de uma conta de administrador de domínios, encontrar e extrair centenas de gigabytes de dados, antes de liberarem o ransomware que revelou sua presença. A conta de administrador hackeada que permitiu isso pertencia a um funcionário que, infelizmente, faleceu cerca de três meses antes e a empresa manteve a conta ativa porque foi usada para vários serviços.
No segundo ataque, os funcionários da Sophos descobriram que os cibercriminosos criaram uma nova conta de usuário e a adicionaram ao grupo de administração de domínio do alvo no Active Directory. Com essa nova conta, eles foram capazes de excluir aproximadamente 150 servidores virtuais e criptografar os backups usando o Microsoft Bitlocker — tudo sem disparar alertas.
“Se não fosse pelo ransomware que sinalizou a presença de invasores, por quanto tempo eles teriam acesso de administrador de domínio à rede sem que a empresa soubesse”, questiona Peter Mackenzie, gerente da Sophos Rapid Response. “Manter o controle das credenciais da conta é básico, mas é essencial para a higiene da segurança cibernética. Vemos muitos incidentes em que contas foram criadas, muitas vezes com direitos de acesso consideráveis, que depois são esquecidas por anos. Essas contas “fantasmas” são o principal alvo dos invasores”, completa.
Veja isso
Extorsão dupla: Grupos de ransomware criam sites de vazamento de
dados
Ransomware Ryuk rende mais de US$ 150 milhões a hackers em 2,5 anos
Segundo ele, a organização que realmente precisa de uma conta depois que alguém sai da empresa deve implementar uma conta de serviço e negar logins interativos para evitar qualquer atividade indesejada. Ou, se não precisa da conta para mais nada, é importante desativá-la e fazer auditorias regulares do Active Directory.
“O perigo não é apenas manter ativas contas desatualizadas e não monitoradas; também está dando aos funcionários mais direitos de acesso do que eles precisam. Nenhuma conta com privilégios deve ser usada por padrão para trabalhos que não requeiram esse nível de acesso. Os usuários devem passar a usar as contas quando necessário e apenas para essa tarefa. Além disso, os alertas devem ser definidos para que, se a conta do administrador do domínio for usada ou se uma nova criada, alguém saberá”, conclui Mackenzie.
O ransomware Nefilim foi relatado pela primeira vez em março de 2020. Seguindo o mesmo padrão de outras famílias de ransomware, como o Dharma, o Nefilim visa principalmente sistemas vulneráveis de protocolo de área de trabalho remota (RPD), bem como software Citrix exposto. Ele faz parte de um número crescente de famílias de ransomware, ao lado do DoppelPaymer e outros que se envolvem na chamada “extorsão secundária”, com ataques que combinam criptografia com roubo de dados e ameaças de exposição pública.