Trend Micro Incorporated ha publicado un caso de estudio sobre el grupo de ransomware Nefilim, que indaga el funcionamiento interno de los ataques modernos de ransomware. El informe ofrece perspectivas sobre cómo los grupos de ransomware han evolucionado, operan bajo el radar y cómo las plataformas de detección y respuesta a amenazas avanzadas pueden ayudar a detenerlos.
El enfoque de las familias modernas de ransomware hace que la detección y la respuesta sean significativamente más difíciles para los equipos de seguridad SOC y de TI, que ya están al límite del agotamiento. Esto no solo afecta a los resultados y a la reputación de la empresa, sino también al bienestar de los propios equipos de los SOC.
“Los ataques modernos de ransomware son muy selectivos, adaptables y sigilosos, y utilizan enfoques probados y perfeccionados por los grupos de APT en el pasado. Mediante el robo de datos y el bloqueo de sistemas clave, grupos como Nefilim buscan extorsionar a organizaciones globales altamente rentables”, apunta Bob McArdle, director de investigación de delitos cibernéticosde Trend Micro. “Nuestro último informe es de lectura obligada para cualquier persona del sector que quiera entender esta economía sumergida de rápido crecimiento desde dentro, y cómo soluciones como Trend Micro Vision One pueden ayudarles a contraatacar””
De los 16 grupos de ransomware estudiados entre marzo de 2020 y enero de 2021, Conti, Doppelpaymer, Egregor y REvil lideraron el número de víctimas expuestas, y Cl0p tuvo la mayor cantidad de datos robados alojados online, con 5 TB.
Sin embargo, con su implacable enfoque en las organizaciones que registran más de 1.000 millones de dólares de facturación, Nefilim obtuvo los mayores ingresos medios.
Como revela el informe, un ataque de Nefilim suele incluir las siguientes fases:
- Acceso inicial que explota credenciales débiles en servicios RDP expuestos u otros servicios HTTP de cara al exterior.
- Una vez dentro, se utilizan herramientas de administración legítimas para el movimiento lateral con el fin de encontrar sistemas valiosos para el robo de datos y el cifrado.
- Se configura un sistema de “llamada a casa” con Cobalt Strike y protocolos que pueden atravesar firewalls, como HTTP, HTTPS y DNS.
- Los servicios de alojamiento a prueba de balas se utilizan para los servidores C&C.
- Los datos se exfiltran y se publican más tarde en sitios web protegidos por TOR para extorsionar a la víctima. Nefilim publicó alrededor de 2 TB de datos el año pasado.
- La carga útil del ransomware se lanza manualmente una vez que se han extraído suficientes datos.
Trend Micro ha advertido previamente del uso generalizado de herramientas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync, para ayudar a los atacantes de ransomware a lograr su objetivo final mientras permanecen ocultos. Esto puede dificultar que los diferentes analistas de los SOC que examinan los registros de eventos de diferentes partes del entorno tengan una visión general del panorama general y detecten los ataques.
El informe está disponible en este enlace (no requiere registro).
Ilustración: Canva
