Des chercheurs ont déclaré qu’une compromission d’un compte non surveillé appartenant à un employé décédé trois mois auparavant aurait permis une attaque de ransomware Nefilim provoquant le verrouillage de plus de 100 systèmes.

Nefilim (alias Nemty) est une souche de ransomware apparue en 2020, avec des opérateurs qui ont adopté la technique appelée « double extorsion » par les chercheurs. Nefilim menace de dévoiler les données des victimes au public en cas de non-paiement de la rançon. Le groupe dispose de son propre site de fuites nommé Corporate Leaks, résidant sur un nœud TOR. Il a attaqué le géant australien des transports Toll Group au début de l’an dernier. D’après le chercheur de Sophos Michael Heller, les pirates ont compromis la victime grâce à l’exploitation des versions vulnérables du logiciel Citrix, ce qui a permis au groupe d’accéder à un compte administrateur. De là, le groupe a volé les données d’identification d’un compte administrateur de domaine à l’aide de Mimikatz.

Sophos a effectué une analyse médico-légale qui a pu démontrer que le Citrix Storefront 7.15 CU3 installé par l’organisation était vulnérable lors de l’incident à une faille critique référencée CVE-2019-11634 et à quatre bugs de haute gravité connus sous les références suivantes : CVE-2019-13608 , CVE-2020-8269 , CVE-2020-8270 , CVE-2020-8283. Storefront est une boutique d’applications d’entreprise que les employés peuvent utiliser afin de télécharger des applications approuvées. D’après l’équipe, il est presque certain que c’était le point d’entrée initial dans le réseau de la victime. Le souci est que le compte administratif qui a remis aux pirates informatiques les clés du royaume des données de l’entreprise appartenait à un utilisateur qui ne faisait plus partie de la société. Ce genre de comptes « fantômes » présentent un risque plus élevé pour les entreprises, d’après les chercheurs, à cause du manque de contrôle sur la manière et le moment d’utilisation de ces comptes, vu qu’il n’y a pas d’utilisateur quotidien pour garder un œil sur l’activité.

Les meilleures pratiques afin d’éviter des attaques similaires incluent l’obtention des autorisations d’accès nécessaires pour une tache ou un rôle particulier, la désactivation des comptes qui ne sont plus nécessaires, la mise en place d’un compte de service et le refus des connexions interactives pour tout compte « fantôme », la réalisation d’audits réguliers d’Active Directory pour surveiller l’activité du compte administrateur ou si un compte inattendu est ajouté au groupe d’administrateurs de domaine.