Home
Tecnologia
Novo golpe virtual foca vítimas com receita de US$ 1 bilhão
Tecnologia

Novo golpe virtual foca vítimas com receita de US$ 1 bilhão

publisherLogo
33giga
30/06/2021 17h25
icon_WhatsApp
icon_Twitter
icon_facebook
icon_email
https://timnews.com.br/system/images/photos/14527867/original/open-uri20210630-18-zzds06?1625074055
icon_WhatsApp
icon_Twitter
icon_facebook
icon_email
PUBLICIDADE

A Trend Micro, de soluções de cibersegurança, divulgou estudo sobre o grupo de ransomware Nefilim, O relatório fornece insights sobre o funcionamento interno desses ataques modernos de ransomware – sequestro de dados.

O relatório a respeito de ransomware Nefilim fornece visão sobre como esses grupos evoluíram. Além disso, mostra como operam e de que forma plataformas avançadas de detecção e resposta a ameaças podem ajudar a detê-los.

A abordagem às famílias modernas de ransomware torna a detecção e a resposta mais difíceis para as equipes de segurança (SOC) e de TI, já sobrecarregadas. Isso é importante não só para os resultados financeiros e a reputação corporativa, mas também para o bem-estar das próprias equipes SOC.

"Os ataques modernos – como os de ransomware Nefilim – são altamente direcionados, adaptáveis e furtivos. Eles usam abordagens comprovadas e aperfeiçoadas por grupos APT (Grupos de Ameaça Persistente Avançada) no passado", destaca Bob McArdle, diretor de Pesquisa de Crimes Cibernéticos da Trend Micro. "Nosso último relatório é leitura obrigatória para qualquer pessoa da indústria que queira entender essa economia subterrânea, em rápido crescimento de dentro para fora."

Dos 16 grupos de ransomware estudados de março de 2020 a janeiro de 2021, lideraram o caminho em termos de número de vítimas expostas: Conti, Doppelpaymer, Egregor e REvil. Já Clop tinha os dados mais roubados hospedados on-line em 5TB.

No entanto, com foco em organizações que registram mais de US$ 1 bilhão em receita, Nefilim obteve a renda média mais alta em extorsões. Como o relatório revela, um ataque desse tipo normalmente envolve as seguintes etapas:

  • Acesso inicial que explora credenciais fracas em serviços RDP expostos ou outros serviços HTTP externos.
  • Uma vez dentro, ferramentas de administração legítimas são usadas para a movimentação lateral, para encontrar sistemas valiosos para o roubo e a criptografia de dados.
  • Um sistema de "call home" é criado com Cobalt Strike e protocolos que podem passar por firewalls, como HTTP, HTTPS e DNS.
  • Serviços de hospedagem à prova de balas são usados para servidores C&C.
  • Os dados são capturados e publicados em sites protegidos por TOR para extorquir a vítima, posteriormente. O Nefilim publicou cerca de 2TB de dados no ano passado.
  • A carga útil de ransomware é lançada manualmente assim que são extraídos dados suficientes.

A Trend Micro alertou, anteriormente, sobre o uso generalizado de ferramentas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec e MegaSync, que ajudam os atacantes de ransomware (Nefilim ou nã0) a atingir seu objetivo final, enquanto permanecem ocultos.

O ransomware Nefilim pode ser desafiador para diferentes analistas de SOC, que observam logs de eventos de diferentes partes do ambiente para ver o quadro geral e detectar ataques.

 

Esse texto não reflete, necessariamente, a opinião do TIM NEWS, da TIM ou de suas afiliadas.
icon_WhatsApp
icon_Twitter
icon_facebook
icon_email
PUBLICIDADE
Confira também