quarta-feira, 30 de junho de 2021

Ransomware Nefilim foca em vítimas com receita de US$ 1 bilhão

 

 

Ransomware Nefilim foca em vítimas com receita de US$ 1 bilhão

Relatório da Trend Micro mergulha fundo em um dos grupos de ameaças mais bem sucedidos do ransomware moderno

São Paulo, junho de 2021 – A Trend Micro, líder mundial em soluções de cibersegurança, divulgou um estudo de caso sobre o grupo de ransomware Nefilim, que fornece insights sobre o funcionamento interno desses ataques modernos de ransomware (sequestro de dados). O relatório fornece uma visão valiosa sobre como esses grupos evoluíram, como operam e como as plataformas avançadas de detecção e resposta a ameaças podem ajudar a detê-los.

A abordagem às famílias modernas de ransomware torna a detecção e a resposta significativamente mais difíceis para as equipes de segurança (SOC) e de TI, já sobrecarregadas. Isso é importante não só para os resultados financeiros e a reputação corporativa, mas também para o bem-estar das próprias equipes SOC.

"Os ataques modernos de ransomware são altamente direcionados, adaptáveis e furtivos – usando abordagens comprovadas e aperfeiçoadas por grupos APT (Grupos de Ameaça Persistente Avançada) no passado. Ao roubar dados e bloquear sistemas importantes, grupos como o Nefilim tentam extorquir organizações globais altamente rentáveis", destaca Bob McArdle, diretor de Pesquisa de Crimes Cibernéticos da Trend Micro. "Nosso último relatório é leitura obrigatória para qualquer pessoa da indústria que queira entender essa economia subterrânea, em rápido crescimento de dentro para fora, e como soluções como o Trend Micro Vision One podem ajudá-los a reagir."

Dos 16 grupos de ransomware estudados de março de 2020 a janeiro de 2021, lideraram o caminho em termos de número de vítimas expostas: Conti, Doppelpaymer, Egregor e REvil. Já Clop tinha os dados mais roubados hospedados on-line em 5TB.

No entanto, com foco implacável em organizações que registram mais de US$ 1 bilhão em receita, Nefilim obteve a renda média mais alta em extorsões.

Como o relatório revela, um ataque Nefilim normalmente envolve as seguintes etapas:

  • Acesso inicial que explora credenciais fracas em serviços RDP expostos ou outros serviços HTTP externos.
  • Uma vez dentro, ferramentas de administração legítimas são usadas para a movimentação lateral, para encontrar sistemas valiosos para o roubo e a criptografia de dados.
  • Um sistema de "call home" é criado com Cobalt Strike e protocolos que podem passar por firewalls, como HTTP, HTTPS e DNS.
  • Serviços de hospedagem à prova de balas são usados para servidores C&C.
  • Os dados são capturados e publicados em sites protegidos por TOR para extorquir a vítima, posteriormente. O Nefilim publicou cerca de 2TB de dados no ano passado.
  • A carga útil de ransomware é lançada manualmente assim que são extraídos dados suficientes.

A Trend Micro alertou, anteriormente, sobre o uso generalizado de ferramentas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec e MegaSync, que ajudam os atacantes de ransomware a atingir seu objetivo final, enquanto permanecem ocultos.  Isso pode ser desafiador para diferentes analistas de SOC, que observam logs de eventos de diferentes partes do ambiente para ver o quadro geral e detectar ataques.

O Trend Micro Vision One monitora e correlaciona o comportamento suspeito em várias camadas - endpoints, e-mails, servidores e workloads na nuvem - para garantir que não haja espaço para esconder agentes de ameaças. Isso torna os tempos de resposta de incidentes mais rápidos, e as equipes podem muitas vezes interromper os ataques antes que eles tenham a chance de causar impacto sério na organização.

Sobre a Trend Micro

A Trend Micro, líder global em cibersegurança, ajuda a tornar o mundo mais seguro quando o assunto é troca de informações digitais. Com décadas de experiência em segurança da informação, pesquisa global de ameaças e inovação contínua, a Trend Micro protege centenas de milhares de organizações e milhões de indivíduos com soluções para redes, dispositivos, sistemas em nuvem e endpoints. As plataformas da Trend Micro oferecem uma gama poderosa de técnicas avançadas de defesa contra ameaças otimizadas para ambientes Google, Microsoft e Amazon, possibilitando respostas mais rápidas e efetivas aos riscos cibernéticos. Com 7.000 colaboradores em 65 países, a Trend Micro permite que as organizações protejam e simplifiquem o seu mundo conectado.

Site:  https://www.trendmicro.com
Twitter: @TrendmicroBR
Linkedin:  https://www.linkedin.com/company/trend-micro/

Informações para a imprensa

DFreire Comunicação e Negócios

(+55 11) 5105-7171
Debora Freire – debora@dfreire.com.br
Eline Menezes – eline@dfreire.com.br
Carla Espino – carla@dfreire.com.br
Bruna Camilo – bruna@dfreire.com.br

Nenhum comentário:

Postar um comentário