Nefilim, el nou virus dissenyat per atacar els rics

Els atacs de 'ransomware' són una de les amenaces més nocives per a les organitzacions, en termes tant operatius com econòmics i de reputació, i en els últims anys han evolucionat les seves estratègies per obtenir majors beneficis, com passa amb Nefilim, una de les famílies modernes que més èxit tenen, principalment per dirigir-se a les organitzacions que facturen més de 1.000 milions de dòlars.

El 'ransomware' és un tipus de ciberamenaza que infecta un equip o una xarxa per encriptar i robar la informació que contenen, i per al seu alliberament exigeixen a canvi un pagament, generalment en una moneda digital. Però els atacs moderns són selectius, adaptables i silenciosos, i utilitzen enfocaments que ja han estat provats i perfeccionats pels grups d'amenaces persistents avançades (APT), com adverteixen des Trend Micro.

@ep

Així, els actors de l' 'ransomware' modern, com els que estan darrere de Nefilim, realitzen moviments laterals com els actors de les APT per tractar de trobar sistemes importants a la xarxa de la víctima, que tenen més probabilitats de contenir dades sensibles per robar i xifrar.

I posen en pràctica l'anomenada doble extorsió, per la qual amenacen de filtrar les dades sensibles que han estat robats abans de desplegar l' 'ransomware' a les seves xarxes compromeses, com recull Trend Micro en els resultats del seu estudi el 'ransomware' modern, les tècniques que utilitzen i el tipus d'organitzacions a les que dirigeixen els seus atacs.

La companyia destaca l'existència de diferents grups de ciberdelinqüents que s'encarreguen de les diferents fases dels atacs. "Això és el subproducte d'una recent evolució en les operacions comercials dels ciberdelinqüents: els pirates informàtics s'associen ara amb els actors de l' 'ransomware' per monetitzar les infraccions relacionades amb la pirateria", expliquen.

També recorren a eines legítimes com AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec i MegaSync per aconseguir el seu objectiu final mentre romanen ocults. Com apunten des Trend Micro, això pot dificultar que els analistes dels centres d'operacions de seguretat (SOC), que examinen els registres d'esdeveniments de diferents parts de l'entorn, tinguin una visió general de l'panorama general i detectin losataques.

EL Ransomware QUE ATACA ELS RICS

L'estudi s'ocupa en total en 16 grups de 'malware' modern, analitzats entre març de 2020 i gener de 2021, dels quals Conti, Doppelpaymer, egrègor i REvil van liderar el nombre de víctimes exposades, i Cl0p va tenir la major quantitat de dades robats allotjats en línia, amb 5 TB.

Nefilim és un dels grups de 'ransomware' més lucratius; amb el seu enfocament en les organitzacions que registren més de 1.000 milions de dòlars de facturació, és el que va obtenir els majors ingressos mitjans. I va publicar al voltant de 2 TB de dades l'any passat.

Els analistes de Trend Micro vinculen Nefilim amb Nemty, tant per la semblança de les primeres versions del seu codi com perquè el seu model de negoci, com 'Ransomware as a Service', s'assembla també a el de Nemty.

Els actors darrere de Nefilim aprofiten serveis d'escriptori remot exposats i 'gestes' disponibles públicament per accedir a les xarxes corporatives, on comencen a descarregar algunes eines, entre les quals es troba l'emulador Cobalt Strike, que implanta balises amb les que poden establir una connexió remota i executar ordres. També utilitzen Process Hacker, que substitueix l'administrador de tasques de Windows per tenir control sobre els processos de l'equip i desactivar sistemes de seguretat com l'antivirus, i Mimikatz, per robar credencials.

Per executar algunes eines com a administrador, els actors van aprofitar una vulnerabilitat en el Model d'objectes components amb elevació de privilegis (CVE-2017-0213), que ja havia estat descoberta i apedaçada en 2017, però que no s'havia corregit en els equips afectats Nefilim.

PROTECCIÓ DAVANT EL Ransomware MODERN

La companyia de seguretat subratlla la importància d'instal·lar les actualitzacions i pegats de seguretat, que es presenten com una barrera de contenció per als sistemes de les organitzacions davant vulnerabilitats conegudes i desconegudes, però també assenyala com un risc els serveis de xarxa privada virtual (VPN ) que estan exposats a xarxes poc fiables.

Els sistemes de prevenció d'intrusos estableixen, a més, una capa addicional de seguretat en l'accés a una xarxa informàtica, a la qual protegeix de potencials vulnerabilitats i permet guanyar temps fins a la disponibilitat d'un pegat.

Trend Micro recomana a les organitzacions realitzar escàners periòdics dels sistemes, equips i programes, el que pot ajudar a desvetllar potencials accessos a la xarxa. I implementar models administratius de menor privilegi, i sistemes d'autenticació robustos com els que fan servir diversos factors.