Los atacantes de ransomware persiguen blancos multimillonarios

Los operadores de ransomware est√°n m√°s interesados en objetivos de alto valor que en lanzar una red masiva.

Trend Micro Incorporated ha publicado un caso de estudio sobre el grupo de ransomware Nefilim, que indaga el funcionamiento interno de los ataques modernos de ransomware. El informe ofrece perspectivas sobre cómo los grupos de ransomware han evolucionado, operan bajo el radar y cómo las plataformas de detección y respuesta a amenazas avanzadas pueden ayudar a detenerlos. 

El enfoque de las familias modernas de ransomware hace que la detecci√≥n y la respuesta sean significativamente m√°s dif√≠ciles para los equipos de seguridad SOC y de TI, que ya est√°n al l√≠mite del agotamiento. Esto no solo afecta a los resultados y a la reputaci√≥n de la empresa, sino tambi√©n al bienestar de los propios equipos de los SOC.  

¬†“Los ataques modernos de ransomware son muy selectivos, adaptables y sigilosos, y utilizan enfoques probados y perfeccionados por los grupos de APT en el pasado. Mediante el robo de datos y el bloqueo de sistemas clave, grupos como Nefilim buscan extorsionar a organizaciones globales altamente rentables”, apunta Bob McArdle, director de investigaci√≥n de delitos cibern√©ticosde¬†Trend¬†Micro. “Nuestro √ļltimo informe es de lectura obligada para cualquier persona del sector que quiera entender esta econom√≠a sumergida de r√°pido crecimiento desde dentro, y c√≥mo soluciones como¬†Trend¬†Micro¬†Vision One pueden ayudarles a contraatacar”” ¬†

De los 16 grupos de ransomware estudiados entre marzo de 2020 y enero de 2021, Conti, Doppelpaymer, Egregor y REvil lideraron el n√ļmero de v√≠ctimas expuestas, y Cl0p tuvo la mayor cantidad de datos robados alojados online, con 5 TB. 

Sin embargo, con su implacable enfoque en las organizaciones que registran m√°s de 1.000 millones de d√≥lares de facturaci√≥n, Nefilim obtuvo los mayores ingresos medios.  

Como revela el informe, un ataque de Nefilim suele incluir las siguientes fases: 

  • Acceso inicial que explota credenciales d√©biles en servicios RDP expuestos u otros servicios HTTP de cara al exterior. 
  • Una vez dentro, se utilizan herramientas de administraci√≥n leg√≠timas para el movimiento lateral con el fin de encontrar sistemas valiosos para el robo de datos y el cifrado.  
  • Se configura un sistema de “llamada a casa” con Cobalt Strike y protocolos que pueden atravesar firewalls, como HTTP, HTTPS y DNS. 
  • Los servicios de alojamiento a prueba de balas se utilizan para los servidores C&C. 
  • Los datos se exfiltran y se publican m√°s tarde en sitios web protegidos por TOR para extorsionar a la v√≠ctima. Nefilim public√≥ alrededor de 2 TB de datos el a√Īo pasado. 
  • La carga √ļtil del ransomware se lanza manualmente una vez que se han extra√≠do suficientes datos. 

Trend Micro ha advertido previamente del uso generalizado de herramientas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync, para ayudar a los atacantes de ransomware a lograr su objetivo final mientras permanecen ocultos. Esto puede dificultar que los diferentes analistas de los SOC que examinan los registros de eventos de diferentes partes del entorno tengan una visión general del panorama general y detecten los ataques.  

El informe est√° disponible en este enlace (no requiere registro).

Ilustración: Canva




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.