Forscherteam berichtet von zwei Angriffen durch die Nefilim-Ransomware, bei denen Konten ausgeschiedener Mitarbeiter*innen für Angriffe missbraucht wurden.
Nefilim, auch bekannt als Nemty Ransomware, kombiniert Datendiebstahl mit Verschlüsselung. Durch die Rückverfolgung eines ursprünglichen Angriffs auf ein Administratorkonto mit hochrangigem Zugriff durch Nefilim konnten interessante Einsichten in das Vorgehen der Kriminellen gewonnen werden. Das gehackte Konto gehörte einem Mitarbeiter, der leider etwa drei Monate zuvor verstorben war. Das Unternehmen hatte das Konto aktiv gehalten, da es für eine Reihe von Diensten verwendet wurde. Wenn eine Organisation ein veraltetes Konto tatsächlich weiterhin benötigt, sollte sie ein Dienstkonto einrichten und interaktive Logins verweigern, um unerwünschte Aktivitäten zu verhindern. Zudem sollten Alarme so eingestellt werden, dass bekannt ist, wenn der Domain-Admin-Account verwendet wird oder ein neuer Admin-Account erstellt wird. Rapid-Response-Teams sehen immer häufiger Fälle, bei denen Konten eingerichtet wurden, oft mit erheblichen Zugriffsrechten, die dann vergessen wurden, manchmal über Jahre hinweg. Solche `Geisterkonten´ sind ein bevorzugtes Ziel für Angreifer.