网络犯罪分子通常会使用暴力攻击、网络钓鱼邮件和现有数据转储来侵入公司网络，但有一个领域往往被忽视，对公司不利：幽灵账户。

当员工离职时，无论是因为新的工作机会，环境的变化，疾病，或者不幸的情况下，死亡，他们的帐户被从公司网络中删除。

这种疏忽是网络犯罪分子现在利用的，在最近的一个案例中，积极利用这种疏忽来传播勒索软件。

in在2019年检测到，Nemty是一种勒索软件即服务（RaaS）的恶意软件变种，可以在地下论坛购买。到了2020年，开发商拿下了Nemtyhttps://www.zdnet.com/article/nemty-ransomware-operation-shuts-down/“target=”\u blank“>私有，为选定的合作伙伴保留代码的未来发展。

在调查感染源时，Sophos将最初的网络入侵缩小到了一个高级管理员帐户。在一个月的时间里，威胁参与者悄悄地探索了公司的资源，获得了域管理员帐户凭据，并过滤了价值数百千兆字节的数据。

一旦网络攻击者完成了侦察并拿走了所有有价值的东西，Nemty就被部署了。

“勒索软件是长期攻击的最终有效载荷，”快速反应经理Peter Mackenzie指出攻击者告诉您他们已经控制了您的网络并完成了大部分攻击。确定你正遭受勒索软件攻击很容易，确定攻击者一周前在你的网络上才是最重要的。”

这个特殊的案件是一个破坏性的案件。一个新的用户帐户被秘密创建并添加到Active Directory中的域管理组中，该帐户用于删除大约150个虚拟服务器，并部署Microsoft BitLocker加密现有服务器备份，从而加大了支付压力。但是，受害组织能够通过离线备份恢复其系统。

网络安全团队询问高权限管理帐户属于谁。受害者公司说，这个账户属于一名前员工，他在网络入侵前大约三个月去世。

而不是撤销访问权限，关闭“幽灵”账户，Sophos建议，一旦用户不需要ghost帐户，任何允许与公司资源保持连接的ghost帐户都应该禁用交互式登录，或者如果确实需要该帐户，应该建立一个服务帐户来代替它。

此外，团队说应该在全公司范围内实施零信任措施，以减少潜在的攻击面。

以前和相关的报道https://www.zdnet.com/article/ransomware-operators-buy-network-access-from-the-underground-to-speed-up-infection.文章/“target=”\u blank“>勒索软件运营商现在将网络访问漏洞外包，以加快攻击速度href=“https://www.zdnet.com/article/cohesity-on-ransomware-ofac-diseases-its-time-to-bring-cybersecurity-to-gdpr-levels/“target=”\u blank“>勒索软件：是时候让网络安全审计达到GDPR状态了href=“https://www.zdnet.com/article/ransomware-victies-that-have-backups-are-paying-ransoms-to-stop-hackers-leaking-their-steak-data.勒索软件受害者/“target=”\u blank“>有备份的勒索软件受害者正在支付赎金，以阻止黑客泄露其被盗数据

---

有提示吗？通过WhatsApp |信号+447713 025 499或Keybase:charlie0安全联系

buyucin加密货币交易所交易员的数据据称在网上泄露

>hyundai通过注册首次发布dal-e:your-future-customer-service-robot，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer no