El ransomware apunta a empresas de miles de millones de dólares

30 de junio de 2021
| No hay comentarios
El ransomware apunta a empresas de miles de millones de dólares

Compartir publicación

Nefilim Ransomware se dirige específicamente a víctimas con más de mil millones de dólares en ingresos anuales. Un estudio de Trend Micro analiza uno de los grupos de amenazas más exitosos del ransomware moderno.

Trend Micro, uno de los proveedores de soluciones de ciberseguridad líderes en el mundo, ha publicado un estudio de caso sobre el grupo de ransomware Nefilim, que proporciona una visión profunda de cómo funcionan los ataques de ransomware modernos. El estudio proporciona información valiosa sobre cómo los grupos de ransomware se desarrollan, operan de forma clandestina y cómo las plataformas avanzadas de detección y respuesta contribuyen a su defensa.

Cómo operan las familias modernas de ransomware

El enfoque de las familias modernas de ransomware hace que la detección y la respuesta a los ciberataques sean significativamente más difíciles para los ya sobrecargados centros de operaciones de seguridad (SOC) y equipos de seguridad de TI. Esto no sólo es crucial para el éxito empresarial y la reputación de la empresa, sino también para los niveles de estrés de los propios equipos del SOC.

“Los ataques de ransomware modernos son altamente dirigidos, adaptables y encubiertos, y utilizan enfoques probados y ya perfeccionados por los grupos APT (Advanced Persistent Threat). Al robar datos y bloquear sistemas importantes, grupos como Nefilim intentan chantajear a empresas globales altamente rentables”, explica Richard Werner, consultor empresarial de Trend Micro. "Nuestro último estudio es una lectura obligada para cualquier persona en la industria que quiera comprender completamente esta economía sumergida en rápido crecimiento y cómo las soluciones de detección y respuesta extendidas (XDR) pueden ayudar a combatirla".

Bajo el microscopio: 16 grupos de ransomware

Entre los 2020 grupos de ransomware examinados entre marzo de 2021 y enero de 16, Conti, Doppelpaymer, Egregor y REvil fueron los líderes en términos de número de víctimas en riesgo. Cl0p tenía la mayor cantidad de datos robados alojados en línea con 5 terabytes (TB).

Sin embargo, debido a su estricto enfoque en empresas con ventas anuales de más de mil millones de dólares, Nefilim logró el ingreso promedio más alto por extorsión.

Como muestra el estudio de Trend Micro, un ataque Nefilim suele tener las siguientes fases

  1. Acceso inicial que abusa de credenciales débiles en servicios expuestos de Protocolo de escritorio remoto (RDP) u otros servicios HTTP externos.
  2. Después de la intrusión, se utilizan herramientas de administración de movimiento lateral legítimas para identificar sistemas valiosos para el robo y el cifrado de datos.
  3. Se configura un "sistema de llamada a casa" utilizando Cobalt Strike y protocolos como HTTP, HTTPS y DNS, que pueden atravesar cualquier firewall.
  4. Para los servidores C&C se utilizan servicios especialmente seguros, los llamados "a prueba de balas".
  5. Los datos se leen y luego se publican en sitios web protegidos por Tor para chantajear a las víctimas. El año pasado, Nefilim publicó alrededor de dos terabytes de datos.
  6. El componente ransomware se activa manualmente una vez que hay suficientes datos.

Hallazgos del estudio: Relaciones entre los cargadores de malware y la última carga útil de ransomware (Imagen: Trend Micro).

Trend Micro ya ha advertido sobre el uso generalizado de herramientas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync que permiten a los atacantes de ransomware lograr sus objetivos pasando desapercibidos. Esto puede dificultar que los analistas de SOC que examinan registros de eventos de diferentes partes del entorno vean las conexiones y los ataques de alto nivel.

Desafío para los analistas de SOC

Trend Micro Vision One monitorea y correlaciona comportamientos sospechosos en múltiples capas, desde puntos finales hasta correo electrónico, servidores y cargas de trabajo en la nube, para garantizar que no haya puertas traseras para los actores de amenazas. Esto garantiza tiempos de respuesta más rápidos en caso de incidentes. Por lo general, los equipos pueden detener los ataques antes de que tengan un impacto grave en la empresa.

El informe completo, “Las tácticas de doble extorsión del ransomware moderno y cómo proteger a las empresas contra ellas”, está disponible en línea en Trend Micro.

Más en TrendMicro.com

 

Acerca de Trend Micro

Como uno de los principales proveedores de seguridad de TI del mundo, Trend Micro ayuda a crear un mundo seguro para el intercambio de datos digitales. Con más de 30 años de experiencia en seguridad, investigación de amenazas globales e innovación constante, Trend Micro ofrece protección para empresas, agencias gubernamentales y consumidores. Gracias a nuestra estrategia de seguridad XGen™, nuestras soluciones se benefician de una combinación intergeneracional de técnicas de defensa optimizadas para entornos de vanguardia. La información de amenazas en red permite una protección mejor y más rápida. Optimizadas para cargas de trabajo en la nube, terminales, correo electrónico, IIoT y redes, nuestras soluciones conectadas brindan visibilidad centralizada en toda la empresa para una detección y respuesta más rápidas a las amenazas.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

Stories
, , , ,