Il ransomware Nefilim prende di mira specificamente le vittime con oltre 1 miliardo di dollari di entrate annuali. Lo studio Trend Micro analizza uno dei gruppi di minacce ransomware moderni di maggior successo.
Trend Micro, uno dei principali fornitori mondiali di soluzioni di sicurezza informatica, ha pubblicato un caso di studio sul gruppo ransomware Nefilim, fornendo uno sguardo approfondito sulla natura dei moderni attacchi ransomware. Lo studio fornisce un prezioso background su come i gruppi di ransomware si evolvono, operano in clandestinità e su come le piattaforme avanzate di rilevamento e risposta aiutano a difendersi da loro.
Come funzionano le moderne famiglie di ransomware
Il modo in cui operano le moderne famiglie di ransomware rende molto più difficile per i team di sicurezza IT e SOC (Security Operations Center) già sovraccarichi rilevare e combattere gli attacchi informatici (rilevamento e risposta). Questo non è solo fondamentale per il successo aziendale e la reputazione aziendale, ma anche per il livello di stress degli stessi team SOC.
“I moderni attacchi ransomware sono altamente mirati, adattivi e furtivi, utilizzando approcci collaudati perfezionati dai gruppi Advanced Persistent Threat (APT). Rubando dati e bloccando sistemi critici, gruppi come Nefilim cercano di ricattare aziende globali altamente redditizie", ha affermato Richard Werner, consulente aziendale di Trend Micro. "Il nostro ultimo studio è una lettura obbligata per chiunque nel settore desideri comprendere appieno questa economia sommersa in rapida crescita e come le soluzioni Extended Detection and Response (XDR) possono aiutare a combatterla".
Al microscopio: 16 gruppi di ransomware
Tra i 2020 gruppi di ransomware intervistati da marzo 2021 a gennaio 16, Conti, Doppelpaymer, Egregor e REvil sono stati i migliori in termini di numero di vittime a rischio. Cl0p aveva i dati più rubati ospitati online a 5 terabyte (TB).
Tuttavia, a causa della sua stretta attenzione alle aziende con vendite annuali superiori a $ XNUMX miliardo, il reddito medio più alto di Nefilim proveniva dall'estorsione.
Come mostra lo studio Trend Micro, un attacco Nefilim di solito ha le seguenti fasi
- Accesso introduttivo che abusa di credenziali deboli su servizi RDP (Remote Desktop Protocol) esposti o altri servizi HTTP rivolti verso l'esterno.
- Una volta infiltrati, gli strumenti di amministrazione legittimi vengono utilizzati per i movimenti laterali per scoprire sistemi preziosi per il furto di dati e la crittografia.
- Viene impostato un "sistema di chiamata a casa" con Cobalt Strike e protocolli come HTTP, HTTPS e DNS che possono passare attraverso qualsiasi firewall.
- Per i server C&C vengono utilizzati servizi particolarmente sicuri, cosiddetti "antiproiettile".
- I dati vengono letti e poi pubblicati su siti Web protetti da Tor per ricattare le vittime. L'anno scorso, Nefilim ha rilasciato circa due terabyte di dati.
- La parte ransomware viene attivata manualmente non appena sono disponibili dati sufficienti.
Trend Micro ha già avvertito dell'uso diffuso di strumenti legittimi come AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec e MegaSync che consentono agli aggressori ransomware di raggiungere il loro obiettivo rimanendo inosservati. Ciò può rendere difficile per gli analisti SOC esaminare i registri degli eventi da diverse parti dell'ambiente per vedere il contesto e gli attacchi di alto livello.
Sfida per gli analisti SOC
Trend Micro Vision One monitora e correla i comportamenti sospetti su più livelli, dagli endpoint alla posta elettronica, ai server e ai carichi di lavoro cloud per garantire che non vi siano backdoor per gli autori delle minacce. Ciò garantisce tempi di risposta più rapidi in caso di incidenti. I team possono spesso bloccare gli attacchi prima che abbiano un serio impatto sul business.
Il rapporto completo, Modern Ransomware's Double Extortion Tactics and How to Protect Enterprises Against Them, è disponibile online su Trend Micro.
Altro su TrendMicro.com
Informazioni su TrendMicro In qualità di uno dei principali fornitori mondiali di sicurezza IT, Trend Micro contribuisce a creare un mondo sicuro per lo scambio di dati digitali. Con oltre 30 anni di esperienza nella sicurezza, ricerca sulle minacce globali e costante innovazione, Trend Micro offre protezione per aziende, agenzie governative e consumatori. Grazie alla nostra strategia di sicurezza XGen™, le nostre soluzioni beneficiano di una combinazione intergenerazionale di tecniche di difesa ottimizzate per ambienti all'avanguardia. Le informazioni sulle minacce in rete consentono una protezione migliore e più rapida. Ottimizzate per carichi di lavoro cloud, endpoint, e-mail, IIoT e reti, le nostre soluzioni connesse forniscono visibilità centralizzata in tutta l'azienda per un rilevamento e una risposta più rapidi alle minacce.