Unutulan 'Hayalet Hesaplar' Başa Dert Oluyor
Sophos, yayınladığı yeni raporda kurumun eski çalışanlarına ait olan ve bir köşede unutulmuş halde bekleyen hesapların önemli bir güvenlik sorunu oluşturduğuna dikkat çekiyor.
Sophos, hayalet hesaplar üzerinden kurumlara yapılan saldırılara
ilişkin Rapid Response ekibi tarafından takibe
alınan iki farklı olaya dair bulgularını paylaştı. "Nefilim
Ransomware Attack Uses 'Ghost' Credentials" başlıklı
raporda, hayalet hesapları takip etmemenin aralarında Nefilim fidye
yazılımının da yer aldığı iki farklı siber saldırıyı nasıl
kolaylaştırdığına dikkat çekiyor.
Nemty adıyla da bilinen Nefilim fidye yazılımı, veri hırsızlığı ve şifreleme kombinasyonuyla kurbanını ödeme yapmaya zorluyor. Sophos, Nefilim'in vurduğu araştırmaya konu olan hedefte 100'den fazla sistemin etkilendiğini tespit etti. Sophos müdahale ekipleri, saldırganların sisteme fidye yazılımını yerleştirmeden dört hafta önce ilk girişi yüksek seviyeli yetkilere sahip bir yönetici hesabıyla yaptığını belirledi. Saldırganlar bu sayede fidye yazılımını çalıştırarak varlıklarını açığa çıkarmadan önce ağ üzerinde sessizce ilerleme fırsatı buldu, bir etki alanındaki yönetici hesabını ele geçirdi ve yüzlerce GB veriyi şirket dışına sızdırdı.
Bu olayı diğerlerinden farklı kılan, saldırının
etkinleştirilmesine neden olan yönetici hesabının yaklaşık üç ay
önce hayatını kaybeden bir çalışana ait olmasıydı. Şirket hesabı
kaldırmak yerine bir dizi hizmeti yönetmek için aktif halde tutmayı
tercih etmişti.
Sophos, rapordaki ikinci saldırıda davetsiz misafirlerin yeni bir kullanıcı hesabı oluşturduğunu ve bunu Active Directory'deki hedefin etki alanı yönetici grubuna eklediğini keşfetti. Saldırganlar bu yolla elde ettikleri yönetici yetkisiyle herhangi bir uyarıyı devreye almadan 150'ye yakın sanal sunucuyu silmeyi ve Microsoft Bitlocker ile sunucu yedeklerini şifrelemeyi başardı.
Sophos Rapid Response Yöneticisi Peter
Mackenzie, "Davetsiz misafirlerin varlığını belli eden
fidye yazılımı olmasaydı, saldırganlar şirketin haberi olmadan
yönetici yetkisiyle ağda daha ne kadar süre dolaşabileceklerini
kimse bilemezdi" diyor. "Hesap bilgilerine hakim olmak son derece
temel ve kritik bir siber güvenlik önlemidir. Çoğu zaman
şirketlerde önemli erişim yetkilerine sahip olmasına rağmen,
yıllarca bir kenarda unutulmuş halde bekleyen hesapların olduğunu
görüyoruz. Bu hayalet hesaplar saldırganların öncelikli hedefi
haline geliyor. Oysa bir kuruluş şirketten ayrılan çalışanın
bıraktığı hesaba gerçekten ihtiyaç duyuyorsa, herhangi bir
istenmeyen etkinliği önlemek için hizmet hesabını devreye almalı ve
etkileşimli girişleri reddetmelidir. Ayrıca ihtiyaç duyulmayan
hesapların devre dışı bırakılması ve düzenli olarak Active
Directory denetimleri gerçekleştirilmesi gerekir."
Mackenzie bir diğer tehlikenin sadece güncelliğini yitirmiş hesapların aktif olması değil, çalışanlara ihtiyaç duyulandan daha fazla yetki verilmesi olduğuna dikkat çekiyor. "Çoğu çalışanın normalde sahip olduğundan daha az yetkiye ihtiyacı vardır" diyor Mackenzie. "Yüksek düzeyde erişim gerektirmeyen işler için kullanıcılara ek ayrıcalıklar tanımaktan kaçınmalısınız. Kullanıcı hesapları yalnızca görevlerinin gerektirdiği işleri yapmaları için yeterli olacak yetkiler göz önüne alınarak kurgulanmalıdır. Ayrıca herhangi bir suistimal ihtimaline karşı etki alanı yönetici hesabının kullanıldığı veya etki alanında yeni bir yönetici hesabının açıldığı durumlarda bilgi sistemleri yöneticilerini uyaracak alarmlar kurgulanmalıdır."
Nefilim fidye yazılımı ilk olarak Mart 2020'de tespit edildi. Dharma ve benzer fidye yazılımı aileleri gibi Nefilim de temel olarak savunmasız Uzak Masaüstü Protokolü (RPD) sistemlerini ve Citrix yazılımını hedefliyor. Nefilim, şifrelemeyi veri hırsızlığı ve gizli bilgilerin kamuya ifşası tehdidiyle birleştiren "ikincil gasp" adlı saldırı tekniğini kullanan DoppelPaymer benzeri fidye yazılımı aileleri arasında yer alıyor.