Vorsicht bei Geisterkonten ausgeschiedener Mitarbeitenden

Eine Ransomware kombiniert Verschlüsselung und Datendiebstahl. Bekannst ist sie als Nefilim oder auch Nemty. Sie schleicht sich über aufrechterhaltene Mail-Konten von ausgeschiedenen Mitarbeitenden ins System.

Das Rapid Response Team des Cybersecurity-Anbieters berichtet von zwei Angriffen durch die Nefilim-Ransomware, bei denen Konten ausgeschiedener Mitarbeitenden für Angriffe missbraucht wurden  Der Bericht »Nefilim Ransomware Attack Uses ›Ghost‹ Credentials« erläutert, wie nicht überwachte Geisterkonten zwei Cyberattacken ermöglichte, von denen eine die Nefilim Ransomware betraf.

Über Nefilim Ransomware wurde erstmals im März 2020 berichtet. Wie andere Ransomware-Familien, etwa Dharma, zielt Nefilim hauptsächlich auf verwundbare Remote Desktop Protocol (RPD)-Systeme sowie auf exponierte Citrix-Software. Sie gehört neben Doppelpaymer und anderen zu einer wachsenden Zahl von Ransomware-Familien, die sogenannte sekundäre Erpressung betreiben, mit Angriffen, die Verschlüsselung mit Datendiebstahl und der Gefahr der öffentlichen Bloßstellung kombinieren.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Vier Wochen unbemerkt im System

Nefilim, auch bekannt als Nemty Ransomware, kombiniert Datendiebstahl mit Verschlüsselung. Bei dem von Nefilim angegriffenen Ziel waren mehr als 100 Systeme betroffen. Sophos-Sicherheitsforscher konnten den ursprünglichen Angriff auf ein Administratorkonto mit hochrangigem Zugriff zurückverfolgen, das die Angreifer mehr als vier Wochen vor der Veröffentlichung der Ransomware kompromittiert hatten. In dieser Zeit konnten sich die Cyberkriminellen unbemerkt durch das Netzwerk bewegen, Zugangsdaten für ein Domain-Administratorkonto stehlen und hunderte Gigabyte an Daten exfiltrieren, bevor sie die Ransomware freisetzten und so schließlich ihre Anwesenheit im System offenbarten. 

Das gehackte Administratorkonto, über das all dies möglich geworden war, gehörte einem Mitarbeiter, der leider etwa drei Monate zuvor verstorben war. Das Unternehmen hatte das Konto aktiv gehalten, da es für eine Reihe von Diensten verwendet wurde.

»Ransomware ist die letzte Komponente in einem längeren Angriff. Es ist der Angreifer, der letztendlich offenbart, dass er bereits die Kontrolle über ein Unternehmensnetzwerk hat und den Großteil des Angriffs abgeschlossen ist«, so Peter Mackenzie, Manager beim Sophos Rapid-Response-Team. »Wenn die Ransomware ihre Aktivitäten nicht aktiv offen gelegt  hätte, wie lange hätten die Angreifer wohl Domain-Admin-Zugriff auf das Netzwerk gehabt, ohne dass das Unternehmen davon gewusst hätte?«

1. Vorsicht bei Geisterkonten ausgeschiedener Mitarbeitenden
2. So kann das Unternehmen geschützt bleiben

Lesen Sie mehr zum Thema

Weitere Artikel zu Sophos GmbH Fort Malakoff Park

Sophos Active Adversary Report

Remote-Dienste sind häufigstes Einfallstor

connect professional Webinar-Reihe

NIS-2: Was Unternehmen jetzt tun können

Neue Spitze für das DACH-Vertriebsteam

Sophos ernennt Ingo Wachter zum Director…

Security Predictions Teil 4 von 4

Managed-Security-Lösungen sind nachgefragt

Security Predictions Teil 2 von 4

Licht und Schatten der KI

Weitere Artikel zu Betriebs-Sicherheit

Von Zero Trust bis Netzwerksegmentierung

Vier Sicherheitsstrategien für OT-Umgebungen

Schwachstellen wie Sand am Meer

Das sind die gefährlichsten ITK-Geräteklassen

Evolution der Cyberkriminalität

KI und ML als Katalysatoren für digitalen Betrug

E-Commerce kämft zunehmend mit Betrug

Lösungen gegen digitalen Ladendiebstahl gesucht

Aktualisierte Hologramme für Patronen

Brother verstärkt Schutz gegen Produktfälschungen