Sophos, yayınladığı yeni raporda kurumun eski çalışanlarına ait olan ve bir köşede unutulmuş halde bekleyen hesapların önemli bir güvenlik sorunu oluşturduğuna dikkat çekiyor.
Sophos, hayalet hesaplar üzerinden kurumlara yapılan saldırılara ilişkin Rapid Response ekibi tarafından takibe alınan iki farklı olaya dair bulgularını paylaştı. “Nefilim Ransomware Attack Uses ‘Ghost’ Credentials” başlıklı raporda, hayalet hesapları takip etmemenin aralarında Nefilim fidye yazılımının da yer aldığı iki farklı siber saldırıyı nasıl kolaylaştırdığına dikkat çekiyor.
Nemty adıyla da bilinen Nefilim fidye yazılımı, veri hırsızlığı ve şifreleme kombinasyonuyla kurbanını ödeme yapmaya zorluyor. Sophos, Nefilim’in vurduğu araştırmaya konu olan hedefte 100’den fazla sistemin etkilendiğini tespit etti. Sophos müdahale ekipleri, saldırganların sisteme fidye yazılımını yerleştirmeden dört hafta önce ilk girişi yüksek seviyeli yetkilere sahip bir yönetici hesabıyla yaptığını belirledi. Saldırganlar bu sayede fidye yazılımını çalıştırarak varlıklarını açığa çıkarmadan önce ağ üzerinde sessizce ilerleme fırsatı buldu, bir etki alanındaki yönetici hesabını ele geçirdi ve yüzlerce GB veriyi şirket dışına sızdırdı.
Bu olayı diğerlerinden farklı kılan, saldırının etkinleştirilmesine neden olan yönetici hesabının yaklaşık üç ay önce hayatını kaybeden bir çalışana ait olmasıydı. Şirket hesabı kaldırmak yerine bir dizi hizmeti yönetmek için aktif halde tutmayı tercih etmişti.
Sophos, rapordaki ikinci saldırıda davetsiz misafirlerin yeni bir kullanıcı hesabı oluşturduğunu ve bunu Active Directory’deki hedefin etki alanı yönetici grubuna eklediğini keşfetti. Saldırganlar bu yolla elde ettikleri yönetici yetkisiyle herhangi bir uyarıyı devreye almadan 150’ye yakın sanal sunucuyu silmeyi ve Microsoft Bitlocker ile sunucu yedeklerini şifrelemeyi başardı.
Sophos Rapid Response Yöneticisi Peter Mackenzie, “Davetsiz misafirlerin varlığını belli eden fidye yazılımı olmasaydı, saldırganlar şirketin haberi olmadan yönetici yetkisiyle ağda daha ne kadar süre dolaşabileceklerini kimse bilemezdi” diyor. “Hesap bilgilerine hakim olmak son derece temel ve kritik bir siber güvenlik önlemidir. Çoğu zaman şirketlerde önemli erişim yetkilerine sahip olmasına rağmen, yıllarca bir kenarda unutulmuş halde bekleyen hesapların olduğunu görüyoruz. Bu hayalet hesaplar saldırganların öncelikli hedefi haline geliyor. Oysa bir kuruluş şirketten ayrılan çalışanın bıraktığı hesaba gerçekten ihtiyaç duyuyorsa, herhangi bir istenmeyen etkinliği önlemek için hizmet hesabını devreye almalı ve etkileşimli girişleri reddetmelidir. Ayrıca ihtiyaç duyulmayan hesapların devre dışı bırakılması ve düzenli olarak Active Directory denetimleri gerçekleştirilmesi gerekir.”
Mackenzie bir diğer tehlikenin sadece güncelliğini yitirmiş hesapların aktif olması değil, çalışanlara ihtiyaç duyulandan daha fazla yetki verilmesi olduğuna dikkat çekiyor. “Çoğu çalışanın normalde sahip olduğundan daha az yetkiye ihtiyacı vardır” diyor Mackenzie. “Yüksek düzeyde erişim gerektirmeyen işler için kullanıcılara ek ayrıcalıklar tanımaktan kaçınmalısınız. Kullanıcı hesapları yalnızca görevlerinin gerektirdiği işleri yapmaları için yeterli olacak yetkiler göz önüne alınarak kurgulanmalıdır. Ayrıca herhangi bir suistimal ihtimaline karşı etki alanı yönetici hesabının kullanıldığı veya etki alanında yeni bir yönetici hesabının açıldığı durumlarda bilgi sistemleri yöneticilerini uyaracak alarmlar kurgulanmalıdır.”
Nefilim fidye yazılımı ilk olarak Mart 2020’de tespit edildi. Dharma ve benzer fidye yazılımı aileleri gibi Nefilim de temel olarak savunmasız Uzak Masaüstü Protokolü (RPD) sistemlerini ve Citrix yazılımını hedefliyor. Nefilim, şifrelemeyi veri hırsızlığı ve gizli bilgilerin kamuya ifşası tehdidiyle birleştiren “ikincil gasp” adlı saldırı tekniğini kullanan DoppelPaymer benzeri fidye yazılımı aileleri arasında yer alıyor.