Laut einer neuen Studie von Sophos machen sich Unternehmen anfällig für Cyberangriffe, wenn sie die Anmeldeinformationen von „Ghost“- oder inaktiven Konten nicht genau im Auge behalten. Das Rapid Response-Team des Cybersicherheitsunternehmens hat neue Erkenntnisse darüber veröffentlicht, wie Schattenkonten genutzt wurden, um Cyberkriminellen bei zwei jüngsten Angriffen Zugang zu Unternehmensnetzwerken zu verschaffen. Der erste Angriff, der mehr als 100 Zielunternehmenssysteme betraf, nutzte die Ransomware Nefilm oder Nemty, um Hunderte Gigabyte an Daten zu finden und zu exfiltrieren. Allerdings konnten die Einsatzkräfte von Sophos den ersten Einbruch in ein Administratorkonto mit High-Level-Zugriff zurückverfolgen, das die Angreifer mehr als vier Wochen lang kompromittiert hatten, bevor sie die Systeme des Unternehmens mit Ransomware verschlüsselten. In diesem Fall gehörte das Parallelkonto einem Mitarbeiter, der drei Monate vor dem Angriff starb. Allerdings hielt das Unternehmen das Konto auch nach dem Tod des Mitarbeiters aktiv, da es für verschiedene Dienstleistungen genutzt wurde.
Geisterkonten
Beim zweiten, unabhängigen Angriff stellten die Sophos-Mitarbeiter fest, dass die Cyberkriminellen ein neues Benutzerkonto erstellt und es der Domänenadministratorengruppe der Zielorganisation in Active Directory hinzugefügt hatten. Mit diesem neuen Domänenadministratorkonto konnten die Angreifer etwa 150 virtuelle Server entfernen und Server-Backups mit Microsoft Bitlocker verschlüsseln, ohne Warnungen auszulösen. Peter Mackenzie, Direktor von Sophos Rapid Response, lieferte in einer Pressemitteilung zusätzliche Informationen darüber, wie Unternehmen verhindern können, dass Schattenkonten gegen Sie verwendet werden, und erklärte: „Das Aufrechterhalten der Kontoanmeldeinformationen ist eine grundlegende Cybersicherheitshygiene, aber unerlässlich.“ Wir sehen viel zu viele Vorfälle, bei denen Konten erstellt wurden, oft mit erheblichen Zugriffsrechten, und dann vergessen wurden, manchmal über Jahre hinweg. Diese „Geister“-Konten sind ein Hauptziel für Angreifer. Wenn eine Organisation wirklich ein Konto benötigt, nachdem jemand das Unternehmen verlassen hat, sollte sie ein Dienstkonto einrichten und interaktive Anmeldungen nicht zulassen, um unerwünschte Aktivitäten zu verhindern. Oder, wenn sie das Konto für nichts anderes benötigen, deaktivieren Sie es und führen Sie regelmäßige Active Directory-Überprüfungen durch. "