O Nefilim Ransomware tem como alvo específico vítimas com mais de US$ 1 bilhão em receita anual. O estudo da Trend Micro analisa um dos grupos de ameaças de maior sucesso para ransomware moderno.
A Trend Micro, um dos principais fornecedores mundiais de soluções de segurança cibernética, publicou um estudo de caso sobre o grupo de ransomware Nefilim, fornecendo informações profundas sobre como funcionam os ataques de ransomware modernos. O estudo fornece informações valiosas sobre como os grupos de ransomware se desenvolvem e operam clandestinamente e como as plataformas avançadas de detecção e resposta contribuem para sua defesa.
Como funcionam as famílias modernas de ransomware
O modus operandi das famílias modernas de ransomware torna a detecção e a resposta a ataques cibernéticos significativamente mais difíceis para os já sobrecarregados centros de operações de segurança (SOC) e equipes de segurança de TI. Isto não é apenas crucial para o sucesso dos negócios e a reputação da empresa, mas também para os níveis de stress das próprias equipas SOC.
“Os ataques de ransomware modernos são altamente direcionados, adaptáveis e secretos, usando abordagens comprovadas e já aperfeiçoadas por grupos APT (Advanced Persistent Threat). Ao roubar dados e bloquear sistemas importantes, grupos como o Nefilim tentam chantagear empresas globais altamente lucrativas”, explica Richard Werner, consultor de negócios da Trend Micro. “Nosso estudo mais recente é uma leitura obrigatória para qualquer pessoa do setor que queira compreender completamente essa economia paralela em rápido crescimento e como as soluções estendidas de detecção e resposta (XDR) podem ajudar a combatê-la.”
Sob o microscópio: 16 grupos de ransomware
Entre os 2020 grupos de ransomware examinados de março de 2021 a janeiro de 16, Conti, Doppelpaymer, Egregor e REvil foram os líderes em termos de número de vítimas em risco. Cl0p teve a maior parte dos dados roubados hospedados online com 5 terabytes (TB).
No entanto, devido ao seu foco estrito em empresas com vendas anuais superiores a mil milhões de dólares, a Nefilim obteve a receita média mais elevada proveniente de extorsão.
Como mostra o estudo da Trend Micro, um ataque Nefilim normalmente tem as seguintes fases
- Acesso iniciatório que abusa de credenciais fracas em serviços RDP (Remote Desktop Protocol) expostos ou outros serviços HTTP externos.
- Ferramentas de administração de movimento lateral legítimo pós-intrusão são usadas para identificar sistemas valiosos para roubo e criptografia de dados.
- Um “sistema de call home” é configurado usando Cobalt Strike e protocolos como HTTP, HTTPS e DNS, que podem passar por qualquer firewall.
- Serviços especialmente protegidos, chamados de “à prova de balas”, são usados para servidores C&C.
- Os dados são lidos e depois publicados em sites protegidos pelo Tor para chantagear as vítimas. No ano passado, Nefilim divulgou cerca de dois terabytes de dados.
- O componente ransomware é acionado manualmente quando há dados suficientes.
Resultados do estudo: Relações entre carregadores de malware e a carga útil de ransomware mais recente (Imagem: Trend Micro).
A Trend Micro já alertou sobre o uso generalizado de ferramentas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec e MegaSync, que permitem que invasores de ransomware atinjam seus objetivos sem serem notados. Isso pode tornar um desafio para os analistas de SOC observar os logs de eventos de diferentes partes do ambiente para ver as conexões e ataques de alto nível.
Desafio para analistas SOC
O Trend Micro Vision One monitora e correlaciona comportamentos suspeitos em múltiplas camadas, de endpoints a e-mail, servidores e cargas de trabalho em nuvem, para garantir que não haja backdoors para agentes de ameaças. Isso garante tempos de resposta mais rápidos em caso de incidentes. As equipes geralmente conseguem interromper os ataques antes que eles tenham um impacto sério na empresa.
O relatório completo, “Táticas de dupla extorsão do ransomware moderno e como proteger as empresas contra elas”, está disponível online na Trend Micro.
Mais em TrendMicro.com
Sobre a Trend Micro Como um dos principais fornecedores mundiais de segurança de TI, a Trend Micro ajuda a criar um mundo seguro para a troca de dados digitais. Com mais de 30 anos de experiência em segurança, pesquisa de ameaças globais e inovação constante, a Trend Micro oferece proteção para empresas, agências governamentais e consumidores. Graças à nossa estratégia de segurança XGen™, nossas soluções se beneficiam de uma combinação entre gerações de técnicas de defesa otimizadas para ambientes de ponta. As informações sobre ameaças em rede permitem uma proteção melhor e mais rápida. Otimizadas para cargas de trabalho em nuvem, endpoints, e-mail, IIoT e redes, nossas soluções conectadas fornecem visibilidade centralizada em toda a empresa para detecção e resposta mais rápidas a ameaças.