Dalam studi kasus yang didokumentasikan oleh kelompok cyberforensik Sophos, Rapid Response pada hari Selasa, sebuah organisasi menghubungi setelah terinfeksi oleh ransomware Nemty.
Menurut Sophos, ransomware – juga dikenal sebagai Nefilim – memengaruhi lebih dari 100 sistem, mengenkripsi file berharga dan menuntut pembayaran dengan imbalan kunci dekripsi.
Selama penyelidikan terhadap sumber infeksi, Sophos mempersempit intrusi jaringan asli ke akun administrator tingkat tinggi. Selama sebulan, para pelaku ancaman diam-diam menjelajahi sumber daya perusahaan, mendapatkan kredensial akun admin domain, dan mengeksfiltrasi data senilai ratusan gigabyte.
Setelah penyerang siber menyelesaikan pengintaian mereka dan mengambil semua yang berharga, Nemty dikerahkan.
Tim keamanan siber menanyakan siapa pemilik akun dengan hak istimewa tinggi. Perusahaan korban mengatakan bahwa akun itu milik mantan anggota staf yang meninggal sekitar tiga bulan sebelum gangguan siber tersebut.
Alih-alih mencabut akses dan menutup akun ‘hantu’, perusahaan memilih untuk tetap mengaktifkan dan terbuka “karena ada layanan yang digunakan untuk itu.”
Sophos menyarankan bahwa setiap akun hantu yang diizinkan untuk tetap terhubung ke sumber daya perusahaan setelah pengguna tidak membutuhkannya harus menonaktifkan login interaktif, atau jika akun tersebut benar-benar diperlukan, akun layanan harus dibuat sebagai gantinya.
Sumber: ZDNet
