El grupo de ransomware Nefilim destaca por percibir los ingresos medios más altos
- Endpoint
Mediante el robo de datos y el bloqueo de sistemas clave, grupos como Nefilim buscan extorsionar a organizaciones con unos ingresos de más de 1.000 millones de dólares. Otros grupos como Conti, Doppelpaymer, Egregor y REvil destacan en número de víctimas expuestas.
Recomendados: Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Anatomía del ataque a una cuenta privilegiada Leer |
Trend Micro ha publicado un estudio que proporciona información valiosa sobre cómo los grupos de ransomware han evolucionado y sobre el funcionamiento interno de los ataques de ransomware. De los 16 grupos de ransomware estudiados entre marzo de 2020 y enero de 2021, Conti, Doppelpaymer, Egregor y REvil lideraron el camino en número de víctimas expuestas, mientras que Cl0p destaca en volumen de datos robados alojados online, con 5TB. Sin embargo, con su enfoque en aquellas organizaciones que facturan más de 1.000 millones de dólares, Nefilim destaca por percibir los ingresos medios más altos.
"Los ataques de ransomware modernos son altamente dirigidos, adaptables y sigilosos, utilizando enfoques probados perfeccionados por los grupos APT en el pasado. Mediante el robo de datos y el bloqueo de sistemas clave, grupos como Nefilim buscan extorsionar a organizaciones globales altamente rentables", explica Bob McArdle, director de investigación de ciberdelincuencia de Trend Micro. "Nuestro último informe es una lectura obligada para cualquier persona en la industria que quiera entender esta economía subterránea de rápido crecimiento de adentro hacia afuera, y cómo soluciones como Trend Micro Vision One pueden ayudarles a recuperarse".
Como revela el informe, un ataque Nefilim típicamente empieza con el acceso inicial que aprovecha las credenciales débiles en servicios RDP expuestos u otros servicios HTTP externos. Una vez dentro, las herramientas de administración legítimas se utilizan para el movimiento lateral para encontrar sistemas valiosos para el robo de datos y el cifrado. Se configura un sistema de "call home" con Cobalt Strike y protocolos que pueden pasar a través de firewalls, como HTTP, HTTPS y DNS. Los datos se exfiltran y se publican en sitios web protegidos por TOR más tarde para extorsionar a la víctima. Nefilim publicó alrededor de 2 TB de datos el año pasado.
Trend Micro ha advertido del uso generalizado de herramientas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync, para ayudar a los atacantes de ransomware a lograr su objetivo final mientras permanecen ocultos. Esto puede hacer que sea un desafío para los diferentes analistas de SOC que miran los registros de eventos de diferentes partes del entorno para ver el panorama general y detectar ataques.