Közel egy éve fedezték fel a Nefilim (vagy Nemty) zsarolóvírust, de még mindig tud meglepetéseket okozni. A Sophos kiberbiztonsági vállalat elemezése szerint az ún. "szellemfiókok", azaz az elhagyott, magas szintű jogosultságokat biztosító felhasználói fiókokon keresztül olyan összetett támadásokat is végre lehet hajtani, aminél az utolsó lépés, a rendszerben található adatok titkosítása csak hab a tortán.

Először adatot lop, csak utána titkosít

A Nefilim is azt csinálja, amit manapság a legtöbb ransomware: először megpróbál minél több adatot megszerezni, aztán lecsap, és titkosítja a célpont rendszereit, hogy kellően ütős legyen a hekkerek érvelése. Ebből a szempontból tizenkettő egy tucat, ami ellen már vannak hatékony védelmi fogások. Ám van egy ügyes egyedi trükkje, ami rendkívül veszélyessé teszi.

Egy a zsarolóval végrehajtott támadásnál, amely több mint száz rendszert érintett, a kutatók elkezdték visszafelé követni a ransomware útját. Így derült ki, hogy a károkozó kód több mint négy héttel korábban jutott be egy magas szintű hozzáféréssel rendelkező adminfiókon keresztül.

A rendszertitkosítási akcióig a hekkerek képesek voltak titokban tartani a jelenlétüket. Ez idő alatt módszeresen végigpásztázták a hálózatot, ellopták egy domainszintű adminfiók hozzáférési adatait, felkutattak és elloptak több száz gigabájtnyi adatot. Majd amikor úgy gondolták, hogy minden fontos-érdekes a birtokukban van, szabadjára engedték a titkosító algoritmust. Utóbbi már csak egyfajta győzelmi jelentés volt a részükről.

Bár a folyamat is szép példája a ransomware-ek új típusú működésének, ebben a konkrét támadásban az igazán tanulságos a bejutás módja. A hekkerek először kompromittáltak egy adminfiókot, ami egy pár hónappal korábban elhunyt alkalmazotté volt. A cég ott követte el a súlyos hibát, hogy az adott fiókot aktívan hagyta, mert a kolléga halála után is használták több szolgáltatáshoz.

Egy másik, hasonló szisztémájú támadásnál a hekkerek még azzal sem vesződtek, hogy megszerezzenek egy domainszintű fiókot: egyszerűen létrehoztak egyet, mert a bejutáshoz használt fióknak kellően magas volt a jogosultsági szintje (indokolatlanul) egy ilyen művelet végrehajtásához. A domainszintű fiókon keresztül pedig töröltek vagy másfél száz virtuális szervert, titkosítottak biztonsági másolatokat a Microsoft Bitlockerrel. Minderről a biztonsági csapat nem kapott semmiféle riasztást. Itt is lényegében a győzelmi jelentéssel felérő titkosításnál derült ki: megtámadták a vállalat rendszereit.

Az alapvető biztonsági higiénia része

A Sophos Rapid Response menedzsere, Peter Mackenzie szerint túl sok olyan incidenssel találkoznak, ami indokolatlanul magas jogosultságú fiókokból indul. És egyre gyakoribb, hogy a hekkerek ehhez fölöslegessé vált, de felügyelet nélkül hagyott, ún. "szellemfiókokat" használnak.

A felhasználó fiókok felügyelete alapvető a biztonsági higiénia szempontjából. Egyszerűen nem szabad engedni, hogy a rendszerben felügyelet nélküli fiókok legyenek. Ha egy fiókra azután is szükség van, hogy az ahhoz tartozó személy távozott a cégtől, létre kell hozni egy ún. szervizfiókot, és abba megtagadni az interaktív belépéseket.

A jogosultságokkal pedig takarékosan és szigorúan kell bánni: csak akkor és az juthasson magasabb szintű jogosultsághoz, amikor és akinek arra valóban szüksége van az adott adott feladat elvégzéséhez. Szintén segíti a védekezést, ha például az Active Directory automatikusan küld riasztások a domainszintű adminisztrátori fiók használatakor, vagy ha új adminfiókot hoznak létre.