Um estudo dos ataques e tentativas de extorsão feitos por grupos que operam ransomware mostra que o Nefilim é o que busca a maior rentabilidade por ataque. O estudo, feito pela Trend Micro, mostra que esse foi o grupo que mais ganhou dinheiro, buscando sempre atingir empresas com faturamento da ordem de US$ 1 bilhão ou superior. O estudo proporciona uma visão valiosa sobre como os grupos evoluíram, como operam e como as plataformas avançadas de detecção e resposta a ameaças podem ajudar a detê-los.
Dos 16 grupos de ransomware estudados de março de 2020 a janeiro de 2021, os líderes em número de vítimas expostas foram: Conti, Doppelpaymer, Egregor e REvil. O Clop liderou em volume de dados e expostos online, com um total de 5TB.
Veja isso
Trend Micro anuncia aquisição da australiana Cloud Conformity
Trend Micro investiga destino de dados roubados on-line
“Os atuais ataques de ransomware são altamente direcionados, adaptáveis e furtivos – usando abordagens comprovadas e aperfeiçoadas por grupos APT (Grupos de Ameaça Persistente Avançada) no passado. Ao roubar dados e bloquear sistemas importantes, grupos como o Nefilim tentam extorquir organizações globais altamente rentáveis”, destaca Bob McArdle, diretor de Pesquisa de Crimes Cibernéticos da Trend Micro. “Nosso último relatório é leitura obrigatória para qualquer pessoa da indústria que queira entender essa economia subterrânea, em rápido crescimento de dentro para fora, e como soluções como o Trend Micro Vision One podem ajudá-los a reagir”. A abordagem às famílias modernas de ransomware torna a detecção e a resposta significativamente mais difíceis para as equipes de segurança (SOC) e de TI, já sobrecarregadas – isso é importante não só para os resultados financeiros e a reputação corporativa, mas também para o bem-estar das próprias equipes SOC, alerta a empresa.
A sequência do ataque
Como o relatório revela, um ataque Nefilim normalmente envolve as seguintes etapas:
- Acesso inicial, que explora credenciais fracas em serviços externos RDP e ou outros serviços HTTP
- Uma vez na rede, ferramentas de administração legítimas são usadas para a movimentação lateral, para encontrar sistemas valiosos para o roubo e a criptografia de dados
- Um sistema de “call home” é criado com Cobalt Strike e protocolos que podem passar por firewalls, como HTTP, HTTPS e DNS
- Serviços de hospedagem muito protegidos (bullet proof) são usados para os servidores C&C
- Os capturados são publicados em sites protegidos pela rede TOR para extorquir a vítima. O Nefilim publicou cerca de 2TB de dados no ano passado
- A carga útil de ransomware é lançada manualmente, após a extração dos dados de interesse dos bandidos
A Trend Micro afirma que já emitiu alertas sobre o uso generalizado de ferramentas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec e MegaSync, que ajudam os atacantes de ransomware a atingir seu objetivo final, enquanto permanecem ocultos. Isso pode ser desafiador para diferentes analistas de SOC, que observam logs de eventos de diferentes partes do ambiente para ver o quadro geral e detectar ataques.
Com informações da assessoria de imprensa