Програмне забезпечення-вимагач Nefilim спеціально націлено на жертв із щорічним доходом понад 1 мільярд доларів. Дослідження Trend Micro аналізує одну з найуспішніших сучасних груп програм-вимагачів.
Trend Micro, один із провідних світових постачальників рішень для кібербезпеки, опублікував тематичне дослідження групи програм-вимагачів Nefilim, у якому детально розглядається природа сучасних атак програм-вимагачів. Дослідження надає цінну інформацію про те, як групи програм-вимагачів розвиваються, діють підпільно та як передові платформи виявлення та реагування допомагають захищатися від них.
Як працюють сучасні сімейства програм-вимагачів
Те, як працюють сучасні сімейства програм-вимагачів, значно ускладнює виявлення кібератак і боротьбу з ними (виявлення та реагування) для і без того перевантажених SOC (Security Operations Center) та команд IT-безпеки. Це має вирішальне значення не лише для успіху бізнесу та корпоративної репутації, але й для рівня стресу самих команд SOC.
«Сучасні атаки програм-вимагачів є високоцілеспрямованими, адаптивними та прихованими з використанням перевірених підходів, вдосконалених групами Advanced Persistent Threat (APT). Викрадаючи дані та блокуючи критично важливі системи, такі групи, як Nefilim, прагнуть шантажувати високоприбуткові глобальні компанії», — сказав Річард Вернер, бізнес-консультант Trend Micro. «Наше останнє дослідження є обов’язковим до прочитання для кожного в галузі, хто хоче повністю зрозуміти цю швидкозростаючу тіньову економіку та те, як рішення для розширеного виявлення та реагування (XDR) можуть допомогти в боротьбі з нею».
Під мікроскопом: 16 груп програм-вимагачів
Серед 2020 груп програм-вимагачів, які були досліджені з березня 2021 року по січень 16 року, Conti, Doppelpaymer, Egregor і REvil були найкращими за кількістю жертв у групі ризику. Cl0p мав найбільше вкрадених даних, розміщених в Інтернеті, розміром 5 терабайт (ТБ).
Однак через те, що Nefilim зосереджується на компаніях із річним обсягом продажів понад XNUMX мільярд доларів, найбільший середній дохід Nefilim отримав від здирництва.
Як показує дослідження Trend Micro, атака Nefilim зазвичай має наступні фази
- Початковий доступ, який зловживає слабкими обліковими даними для відкритих служб протоколу віддаленого робочого стола (RDP) або інших зовнішніх служб HTTP.
- Після проникнення законні інструменти адміністратора використовуються для бокових переміщень, щоб виявити цінні системи для крадіжки даних, а також шифрування.
- «Система виклику додому» налаштована за допомогою Cobalt Strike і таких протоколів, як HTTP, HTTPS і DNS, які можуть проходити через будь-який брандмауер.
- Для C&C серверів використовуються спеціально захищені, так звані "куленепробивні" служби.
- Дані зчитуються, а потім публікуються на захищених Tor-сайтах, щоб шантажувати жертв. Минулого року Nefilim оприлюднив близько двох терабайтів даних.
- Частина програм-вимагачів запускається вручну, щойно є достатньо даних.
Результати дослідження: взаємозв’язок між завантажувачами зловмисного програмного забезпечення та останньою програмою-вимагачем (Зображення: Trend Micro).
Раніше Trend Micro попереджав про широке використання законних інструментів, таких як AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec і MegaSync, які дозволяють зловмисникам-вимагачам досягти своєї мети, залишаючись непоміченими. Це може ускладнити аналітикам SOC, переглядаючи журнали подій з різних частин середовища, щоб побачити контекст високого рівня та атаки.
Виклик для аналітиків SOC
Trend Micro Vision One відстежує та корелює підозрілу поведінку на кількох рівнях, від кінцевих точок до електронної пошти, серверів і хмарних робочих навантажень, щоб гарантувати відсутність бекдорів для зловмисників. Це забезпечує швидший час реагування в разі інцидентів. Команди часто можуть зупинити атаки, перш ніж вони серйозно вплинуть на бізнес.
Повний звіт «Тактика подвійного вимагання сучасних програм-вимагачів і як захистити підприємства від них» доступний онлайн на сайті Trend Micro.
Більше на TrendMicro.com
Про Trend Micro Як один із провідних світових постачальників ІТ-безпеки, Trend Micro допомагає створити безпечний світ для обміну цифровими даними. Завдяки більш ніж 30-річному досвіду в галузі безпеки, глобальним дослідженням загроз і постійним інноваціям Trend Micro пропонує захист для компаній, державних установ і споживачів. Завдяки нашій стратегії безпеки XGen™ наші рішення отримують переваги від поєднання методів захисту між поколіннями, оптимізованих для передових середовищ. Інформація про мережеві загрози забезпечує кращий і швидший захист. Оптимізовані для хмарних робочих навантажень, кінцевих точок, електронної пошти, Інтернету речей і мереж, наші підключені рішення забезпечують централізовану видимість у всьому підприємстві для швидшого виявлення загроз і реагування.