网络犯罪分子使用已故的员工账户传播Nemty勒索软件

网络罪犯通常会使用暴力攻击、网络钓鱼电子邮件和现有的数据转储来侵入公司网络，但是有一个领域经常被公司损害而被忽略：虚假帐户。

当员工离职时，无论是由于新的工作机会，环境的变化，生病，还是不幸的是死亡，都不总是将其帐户从公司网络中删除。

在Sophos网络取证小组Rapid Response于周二记录的一个案例研究中，一个组织受到 Nemty 勒索软件的感染。

据Sophos称，勒索软件（也称为Nefilim）影响了100多个系统，对有价值的文件进行加密并要求付款以换取解密密钥。

Nemty于2019年首次被发现，是一种可以在地下论坛中购买的恶意软件即服务（RaaS）变种。2020年，开发人员将Nemty私有化，为选定的合作伙伴保留了代码的未来开发。

在对感染源进行调查期间，Sophos将原始网络入侵范围缩小到一个高级管理员帐户。在一个月的时间里，威胁参与者悄悄地浏览了公司的资源，获取域管理员帐户凭据并窃取了数百GB的数据。

一旦网络攻击者完成了侦察并获得了所有有价值的东西，便部署了Nemty。

快速响应经理 Peter Mackenzie 说：“勒索软件是长期攻击的最终有效手段。攻击者告诉您他们已经控制了您的网络并完成了大部分攻击。识别您是否受到勒索软件攻击很容易，确定攻击者一周前在您的网络上就很重要。”

网络安全团队询问高特权管理帐户属于谁。受害者公司表示，该帐户属于一名前员工，在网络入侵发生前约三个月去世。

该公司没有取消访问并关闭“幽灵”帐户，而是选择保持其活动状态并“因为存在用于该服务的服务”而打开。

Sophos建议，一旦用户不需要任何允许其保持与公司资源连接的虚拟帐户，都应禁用交互式登录，或者如果确实需要该帐户，则应代之以创建服务帐户。

此外，该团队表示，应在全公司范围内实施零信任措施，以减少潜在的攻击面。