3 cosas que quizás no sepa sobre el ransomware moderno y cómo Nefilim gana dinero


El estudio de caso de Craze Micro explica cómo funciona el nuevo modelo de negocio y cómo se desarrollan los ataques de varios pasos.

Resumen de archivos cifrados de virus Malware Ransomware con teclado sobre fondo rojo de bits binarios. Ilustración de vector concepto de ciberdelincuencia y seguridad cibernética.

Imagen: iStockphoto / nicescene

Los ataques de ransomware ahora son un esfuerzo de equipo que incluye probadores profesionales con intenciones maliciosas, agentes de acceso como servicio y los propietarios de ransomware que negocian. Los malos actores han modernizado el modelo de negocio para diseñar ataques basados ​​en una empresa específica y una tarifa de rescate basada en el éxito del objetivo, según una nueva investigación de Trend Micro.

El nuevo informe de la empresa «Las tácticas de doble extorsión del ransomware moderno y cómo proteger a las empresas contra ellas, «explica el ataque de ransomware moderno y Nefilim, un tipo de malware que ilustra esta evolución. Nefilim ataca a empresas multimillonarias y filtró 1.752 gigabytes de datos en enero, según el informe. Craze Micro Exploration publicó el informe, escrito por Mayra Fuentes, Feike Hacquebord, Stephen Hilt, Ian Kenefick, Vladimir Kropotov, Robert McArdle, Fernando Mercês y David Sancho.

VER: Política de protección contra robo de identidad (TechRepublic High quality)

Según el informe, los esquemas de monetización de ransomware han cambiado por dos razones. Primero, las organizaciones están mejorando en defensa cibernética, lo que lower la cantidad de objetivos fáciles y requiere que los atacantes utilicen un enfoque más específico. En segundo lugar, los delincuentes están utilizando nuevas tecnologías para crear ataques más potentes y sofisticados, que incluyen:

  • El aumento de la potencia informática de las máquinas, que proporciona a los ciberdelincuentes la capacidad de automatizar profundamente el procesamiento y recopilar información adicional sobre las víctimas.
  • La disponibilidad de bases de datos públicas y privadas y herramientas de automatización que ayudan a realizar una categorización precisa de las víctimas según su ubicación, industria, nombre de la empresa, tamaño e ingresos.
  • La capacidad de iniciar transferencias de dinero transfronterizas anónimas de alto volumen utilizando criptomonedas y mezcladores de criptomonedas.
  • El uso extensivo de plataformas de comunicación que permiten interacciones seguras, interactivas y anónimas y una mayor colaboración entre varios grupos de ciberdelincuentes.

Aquí hay tres características de los ataques de ransomware modernos del informe, así como un resumen del análisis de Pattern Micro de Nefilim, una familia de malware que tiene todas esas características.

Todo se trata de personalización ahora

Ahora que la táctica de «rociar y rezar» es menos útil, los malos actores están personalizando los ataques. Esto significa un perfil profundo de las víctimas y un precio de rescate específico para las víctimas. Los delincuentes ahora tienen la capacidad de infiltrarse en una red y dedicar todo el tiempo que sea necesario a buscar e identificar los activos de mayor valor. El atacante ahora sabe mucho más sobre el objetivo, incluido el número de empleados, las cifras de ingresos y la industria. Esta personalización también permite a los atacantes estimar posibles cantidades de rescate para cada víctima.

El proceso moderno de ransomware tiene varios pasos adicionales que permiten estos ataques personalizados. El proceso comienza con una adquisición de activos y continúa con la categorización de activos y luego la adquisición de infraestructura. Según la investigación de Craze Micro, las bandas de ransomware utilizan estos pasos para personalizar el ataque:

  1. Organizar el acceso alternativo a la pink.
  2. Determinar los activos y procesos más valiosos
  3. Tome el management de activos valiosos, procedimientos de recuperación y copias de seguridad
  4. Extraer datos

Los ataques de «ransomware premoderno», como los describe el informe, cifrarían los datos y extorsionarían a las empresas basándose en el cifrado. El proceso moderno de ransomware agrega dos nuevos pasos: extorsionar a las empresas basándose en exponer los datos y luego exponerlos realmente.

El negociador obtiene un corte menor que el infiltrado

Los investigadores de Craze Micro descubrieron que los ataques de ransomware modernos no son un trabajo de un solo grupo de hackers la colaboración es la nueva tendencia. La cadena de ataque completa a menudo involucra a dos o más grupos que son responsables de las diferentes etapas del ataque.

Según el informe, un grupo es propietario del ransomware y otro controla la infraestructura comprometida y distribuye el malware. Los dos grupos generalmente acuerdan una división de 20/80 o 30/70 de las ganancias:

«….. la parte más pequeña va para el grupo que proporciona el ransomware y negocia con la víctima, mientras que la mayor parte de las ganancias se destina al grupo que maneja el acceso a la purple e implementa la fase activa del ataque. La mayoría de las ganancias van al actor afiliado responsable de obtener acceso a la purple y de implementar la carga útil del ransomware «.

A veces, incluso hay subcontratistas involucrados en el proceso que se especializan en «escalada de privilegios, movimiento lateral y toma full de la infraestructura de las víctimas». Estos especialistas en acceso cobran tarifas basadas en la cantidad de acceso que desea un atacante que van desde «decenas de dólares por un activo de víctima aleatorio, hasta varios cientos o incluso miles de dólares por un activo categorizado el acceso a la infraestructura de una gran organización puede costar de cinco a seis cifras «.

Los autores del informe también señalan que los grupos afiliados no son investigados tan meticulosamente como sus socios de ransomware, lo que ayuda a que estas colaboraciones sobrevivan.

El rescate es una de las muchas oportunidades de monetización.

Otro elemento de este enfoque de equipo para el delito cibernético es que a menudo hay «ciclos de vida de monetización paralelos» en un solo ataque, según Craze Micro. Esto hace que sea aún más difícil detectar el problema y recuperarse de un ataque. Es otra razón para entender claramente los modelos comerciales delictivos para poder «atribuir TTP a ataques simultáneos separados o un ataque de señal realizado con una estrecha colaboración entre actores que comparten el acceso y unen fuerzas».

Antes de cerrar un ticket en un ataque, los investigadores de Development Micro recomiendan que los equipos de seguridad consideren toda la cadena de eliminación para asegurarse de que todo el malware haya desaparecido. Varonis describe los ocho pasos en la cadena de muerte cibernética:

  1. Reconocimiento
  2. Intrusión
  3. Explotación
  4. Escalada de privilegios
  5. Movimiento lateral
  6. Ofuscación / anti-forense
  7. Negación de servicio
  8. Exfiltración

Pattern Micro recomienda que los equipos de seguridad lean la investigación de seguridad para ver dónde encaja una pieza particular de malware en la cadena de eliminación. Si se united states of america a menudo al principio de la cadena, los defensores deben asumir que las etapas posteriores pueden haberse desplegado y deben ser investigadas.

Cómo se desarrollan los ataques de ransomware Nefilim

El informe de Development Micro explain esta familia de ransomware como un ejemplo de ransomware moderno. Los atacantes primero establecen un punto de apoyo en la pink, luego identifican los datos más valiosos y luego activan la carga útil del ransomware. Development Micro identificó a Nefilim por primera vez en marzo de 2020.

Nefilim ha atacado empresas en América del Norte y del Sur, Europa, Asia y Oceanía, según la investigación de Trend Micro, y parece apuntar a empresas multimillonarias con más frecuencia que otros grupos de ransomware.

El grupo parece tener un mejor regulate sobre su sitio website y es «particularmente cruel» acerca de la filtración de datos confidenciales durante largos períodos de tiempo. Los investigadores de Pattern Micro descubrieron que Nefilim utiliza servicios RDP expuestos y una vulnerabilidad en el controlador de entrega de aplicaciones de Cigrix para obtener acceso inicial. En ese momento, los atacantes utilizan una variedad de herramientas para establecer una presencia en la purple comprometida, que incluyen:

  • Una baliza de Cobalt Strike
  • La herramienta Method hacker
  • Mimikatz
  • PsExec
  • Home windows PowerShell
  • Sabueso

Una vez que los atacantes han encontrado los datos que buscan, utilizan tres tipos de servicios de alojamiento a prueba de balas y alojamiento de flujo rápido para cargar y filtrar información robada, según el informe.

Ver también



Enlace a la noticia initial