A Trend Micro, de soluções de cibersegurança, divulgou estudo sobre o grupo de ransomware Nefilim, O relatório fornece insights sobre o funcionamento interno desses ataques modernos de ransomware – sequestro de dados.
Leia mais:
Quais materiais podem ou não ir ao micro-ondas?
Como fazer arroz e mais: veja 5 apps e sites que te ajudam a cozinhar
Uber Eats convida astróloga para dizer o menu ideal de cada signo
O relatório a respeito de ransomware Nefilim fornece visão sobre como esses grupos evoluíram. Além disso, mostra como operam e de que forma plataformas avançadas de detecção e resposta a ameaças podem ajudar a detê-los.
Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga
A abordagem às famílias modernas de ransomware torna a detecção e a resposta mais difíceis para as equipes de segurança (SOC) e de TI, já sobrecarregadas. Isso é importante não só para os resultados financeiros e a reputação corporativa, mas também para o bem-estar das próprias equipes SOC.
“Os ataques modernos – como os de ransomware Nefilim – são altamente direcionados, adaptáveis e furtivos. Eles usam abordagens comprovadas e aperfeiçoadas por grupos APT (Grupos de Ameaça Persistente Avançada) no passado”, destaca Bob McArdle, diretor de Pesquisa de Crimes Cibernéticos da Trend Micro. “Nosso último relatório é leitura obrigatória para qualquer pessoa da indústria que queira entender essa economia subterrânea, em rápido crescimento de dentro para fora.”
Dos 16 grupos de ransomware estudados de março de 2020 a janeiro de 2021, lideraram o caminho em termos de número de vítimas expostas: Conti, Doppelpaymer, Egregor e REvil. Já Clop tinha os dados mais roubados hospedados on-line em 5TB.
No entanto, com foco em organizações que registram mais de US$ 1 bilhão em receita, Nefilim obteve a renda média mais alta em extorsões. Como o relatório revela, um ataque desse tipo normalmente envolve as seguintes etapas:
- Acesso inicial que explora credenciais fracas em serviços RDP expostos ou outros serviços HTTP externos.
- Uma vez dentro, ferramentas de administração legítimas são usadas para a movimentação lateral, para encontrar sistemas valiosos para o roubo e a criptografia de dados.
- Um sistema de “call home” é criado com Cobalt Strike e protocolos que podem passar por firewalls, como HTTP, HTTPS e DNS.
- Serviços de hospedagem à prova de balas são usados para servidores C&C.
- Os dados são capturados e publicados em sites protegidos por TOR para extorquir a vítima, posteriormente. O Nefilim publicou cerca de 2TB de dados no ano passado.
- A carga útil de ransomware é lançada manualmente assim que são extraídos dados suficientes.
A Trend Micro alertou, anteriormente, sobre o uso generalizado de ferramentas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec e MegaSync, que ajudam os atacantes de ransomware (Nefilim ou nã0) a atingir seu objetivo final, enquanto permanecem ocultos.
O ransomware Nefilim pode ser desafiador para diferentes analistas de SOC, que observam logs de eventos de diferentes partes do ambiente para ver o quadro geral e detectar ataques.