www.elmundofinanciero.com

ESTUDIO DE TREND MICRO

El ransomware Nefilim se dirige a víctimas con ingresos de 1.000 millones de dólares

El ransomware Nefilim se dirige a víctimas con ingresos de 1.000 millones de dólares

  • El informe de Trend Micro profundiza en uno de los grupos de amenazas más exitosos del ransomware moderno

miércoles 09 de junio de 2021, 17:35h
Compartir en Google Bookmarks Compartir en Meneame

Trend Micro Incorporated, líder mundial en ciberseguridad, ha publicado un caso de estudio sobre el grupo de ransomware Nefilim, que proporciona información sobre el funcionamiento interno de los ataques modernos de ransomware. El informe ofrece una valiosa visión de cómo los grupos de ransomware han evolucionado, operan bajo el radar y cómo las plataformas de detección y respuesta a amenazas avanzadas pueden ayudar a detenerlos. El enfoque de las familias modernas de ransomware hace que la detección y la respuesta sean significativamente más difíciles para los equipos de seguridad SOC y de TI, que ya están al límite del agotamiento. Esto no solo afecta a los resultados y a la reputación de la empresa, sino también al bienestar de los propios equipos de los SOC.

"Los ataques modernos de ransomware son muy selectivos, adaptables y sigilosos, y utilizan enfoques probados y perfeccionados por los grupos de APT en el pasado. Mediante el robo de datos y el bloqueo de sistemas clave, grupos como Nefilim buscan extorsionar a organizaciones globales altamente rentables", apunta Bob McArdle, director de investigación de delitos cibernéticos de Trend Micro. "Nuestro último informe es de lectura obligada para cualquier persona del sector que quiera entender esta economía sumergida de rápido crecimiento desde dentro, y cómo soluciones como Trend Micro Vision One pueden ayudarles a contraatacar""

De los 16 grupos de ransomware estudiados entre marzo de 2020 y enero de 2021, Conti, Doppelpaymer, Egregor y REvil lideraron el número de víctimas expuestas, y Cl0p tuvo la mayor cantidad de datos robados alojados online, con 5 TB.

Sin embargo, con su implacable enfoque en las organizaciones que registran más de 1.000 millones de dólares de facturación, Nefilim obtuvo los mayores ingresos medios.

Como revela el informe, un ataque de Nefilim suele incluir las siguientes fases:

Acceso inicial que explota credenciales débiles en servicios RDP expuestos u otros servicios HTTP de cara al exterior.

Una vez dentro, se utilizan herramientas de administración legítimas para el movimiento lateral con el fin de encontrar sistemas valiosos para el robo de datos y el cifrado.

Se configura un sistema de "llamada a casa" con Cobalt Strike y protocolos que pueden atravesar firewalls, como HTTP, HTTPS y DNS.

Los servicios de alojamiento a prueba de balas se utilizan para los servidores C&C.

Los datos se exfiltran y se publican más tarde en sitios web protegidos por TOR para extorsionar a la víctima. Nefilim publicó alrededor de 2 TB de datos el año pasado.

La carga útil del ransomware se lanza manualmente una vez que se han extraído suficientes datos.

Trend Micro ha advertido previamente del uso generalizado de herramientas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync, para ayudar a los atacantes de ransomware a lograr su objetivo final mientras permanecen ocultos. Esto puede dificultar que los diferentes analistas de los SOC que examinan los registros de eventos de diferentes partes del entorno tengan una visión general del panorama general y detecten los ataques.

Trend Micro Vision One supervisa y correlaciona los comportamientos sospechosos en varias capas -endpoints, correos electrónicos, servidores y cargas de trabajo en la nube- para garantizar que los actores de las amenazas no se escondan. Esto hace que los tiempos de respuesta a los incidentes sean más rápidos, lo que significa que los equipos pueden detener los ataques antes de que tengan la oportunidad de causar un impacto serio en la organización.

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)
Compartir en Google Bookmarks Compartir en Meneame enviar a reddit compartir en Tuenti

+

0 comentarios