Nefilim, un ransomware que utiliza cuentas 'fantasma' para robar y cifrar datos

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

Sophos ha publicado los hallazgos que su equipo Rapid Response ha hecho del ransomware Nefilim, también conocido como Nemty, el cual utiliza credenciales 'fantasma' para robar y encriptar los datos de las empresas a las que ataca. Se calcula que el objetivo alcanzado por Nefilim asciende a más de 100 sistemas afectados.

Los investigadores de Sophos rastrearon la intrusión inicial a una cuenta de administrador con acceso de alto nivel que los atacantes habían comprometido más de cuatro semanas antes de que lanzasen el ransomware. Durante este tiempo, los atacantes fueron capaces de moverse silenciosamente a través de la red, robar credenciales de una cuenta de administrador de dominio, y encontrar y exfiltrar cientos de GB de datos, antes de liberar el ransomware que reveló su presencia. La cuenta de administrador hackeada que permitió esto pertenecía a un empleado que había fallecido alrededor de tres meses antes. La empresa había mantenido la cuenta activa porque se utilizaba para una serie de servicios.

En un segundo ataque no relacionado, los analistas de Sophos encontraron que los intrusos habían creado una nueva cuenta de usuario y la agregaron al grupo de administradores de dominio de su objetivo en Active Directory. Con esta nueva cuenta de administrador de dominio, los atacantes fueron capaces de eliminar aproximadamente 150 servidores virtuales y cifrar las copias de seguridad del servidor mediante Microsoft Bitlocker, todo sin crear alertas.

"Si no fue por el ransomware que marcó la presencia de intrusos, ¿cuánto tiempo podrían los atacantes haber tenido acceso de administrador de dominio a la red sin que la empresa lo supiera?", señala Peter Mackenzie, director de Sophos Rapid Response. " Vemos demasiados incidentes en los que se han creado cuentas, a menudo con considerables derechos de acceso, que luego se olvidan, a veces durante años. Tales cuentas 'fantasma' son un objetivo principal para los atacantes”.

Mackenzie añade que "el peligro no es sólo mantener activas cuentas obsoletas y sin supervisión, sino dar a los empleados mayores derechos de acceso de los que necesitan. No se debe usar ninguna cuenta con privilegios de forma predeterminada para el trabajo que no requiere ese nivel de acceso. Los usuarios deben elevar al uso de las cuentas cuando sea necesario y solo para esa tarea. Además, se deben establecer alertas si se usa la cuenta de administrador del dominio o si se crea una nueva cuenta de administrador”.

Nefilim ransomware fue reportado por primera vez en marzo de 2020. Al igual que otras familias ransomware como Dharma, Nefilim se dirige principalmente a sistemas de protocolo de escritorio remoto (RPD) vulnerables, así como a software Citrix expuesto. Es una de las familias de ransomware que se dedica a la llamada "extorsión secundaria", con ataques que combinan el cifrado con el robo de datos y la amenaza de exposición pública.