Ransomware Nefilim: el virus inform��tico que roba, pero solo a los ricos

Nefilim es un ransomware usado para atacar empresas y organizaciones con ganancias de m��s de mil millones de d��lares.

Actualizado a 22 de junio de 2021 18:15 CEST

En el tema de los ciberataques y la pirater��a inform��tica, queda claro que nadie est�� a salvo, y a cualquiera le pueden hackear el ordenador, el m��vil, etc, sin que tenga nada que ver si es rico o pobre, currante o conde. Pero hay criminales que prefieren atacar a lo grande, e irse a por los botines m��s suculentos, como quienes usan el grupo ransomware Nefilim.

Ransomware, el malware preferido

??El 'ransomware' es un tipo de ciberamenaza que infecta un equipo o una red para encriptarlos y robar la informaci��n que contienen, y para su liberaci��n exigen a cambio un pago, generalmente en una criptomoneda. Pero los ataques modernos son selectivos, adaptables y sigilosos, y utilizan enfoques que ya han sido probados y perfeccionados por los grupos de amenazas persistentes avanzadas (APT).?

Seg��n un informe de los expertos en ciberseguridad de Trend Micro, los actores del ransomware moderno identifican y apuntan a los datos valiosos, a menudo exfiltr��ndolos de la organizaci��n de la red de la v��ctima en lugar de simplemente cifrarlos. Esto les da otra v��a de extorsi��n: si la v��ctima no paga el rescate, el atacante puede amenazar con hacer p��blicos los datos privados. Y para las empresas que tienen datos de propiedad intelectual, informaci��n de propiedad, datos privados de los empleados y datos de los clientes, esto es una preocupaci��n seria.

Porque en su sector, ��cualquier filtraci��n de datos conllevar�� sanciones reglamentarias, demandas judiciales y da?os a la reputaci��n��.

La Doble Extorsi��n

??Esta t��ctica es la denominada ��doble extorsi��n��, por la que amenazan con filtrar los datos sensibles que han sido robados antes de desplegar el 'ransomware' en sus redes comprometidas, como recoge Trend Micro en los resultados de su estudio sobre el 'ransomware' moderno, las t��cnicas que utilizan y el tipo de organizaciones a las que dirigen sus ataques. ??Seg��n el informe, el ataque ya no suele ser obra de una sola persona / grupo: existen distintos grupos de ciberdelincuentes que se encargan de las distintas fases de los ataques.

"Esto es el subproducto de una reciente evoluci��n en las operaciones comerciales de los ciberdelincuentes: los 'hackers' se asocian ahora con los actores del 'ransomware' para monetizar las infracciones relacionadas con la pirater��a", explican.

??Trend Micro se ha centrado en 16 grupos de 'malware' moderno, analizados entre marzo de 2020 y enero de 2021, de los cuales Conti, Doppelpaymer, Egregor y REvil lideraron el n��mero de v��ctimas expuestas, y Cl0p tuvo la mayor cantidad de datos robados alojados 'online', con 5 TB.?

Nefilim, el malware de los mil millones de d��lares??

Nefilim es uno de los grupos de 'ransomware' m��s lucrativos; con su enfoque en las organizaciones que registran m��s de 1.000 millones de d��lares de facturaci��n, es el que obtuvo los mayores ingresos medios. Y public�� alrededor de 2 TB de datos el a?o pasado. Los analistas de Trend Micro vinculan Nefilim con Nemty, tanto por el parecido de las primeras versiones de su c��digo como porque su modelo de negocio, como 'Ransomware as a Service', se asemeja tambi��n al de Nemty.?

Para obtener el acceso inicial a las redes de las v��ctimas, los actores de Nefilim utilizan servicios RDP expuestos y exploits disponibles p��blicamente. Aprovecharon una vulnerabilidad en el Citrix Application Delivery Controller (CVE-2019-19781), y una vulnerabilidad de elevaci��n de privilegios (EoP) del Windows Component Object Model (COM) que descubri�� Google Project Zero, que luego fue corregida por Microsoft en mayo de 2017.

Despu��s de obtener el acceso inicial, los atacantes de Nefilim comienzan por descargar herramientas adicionales en un navegador web. Una descarga significativa es una baliza Cobalt Strike que se utiliza para establecer una conexi��n remota con el entorno y ejecutar comandos. (Cobalt Strike es una herramienta de penetraci��n post-explotaci��n que permite a los probadores de seguridad atacar la red, controlar el sistema comprometido y exfiltrar datos interesantes, aunque sus capacidades pueden ser mal utilizadas por los atacantes).

Otros archivos descargados son: la herramienta Process Hacker, que se utiliza para terminar los agentes de seguridad de los puntos finales; y Mimikatz, que se utiliza para volcar las credenciales.

Los atacantes se mueven lateralmente una vez que consiguen un punto de apoyo en la red, lo que significa que "utilizar��n un sistema comprometido para encontrar otras ��reas a las que puedan acceder". Para evitar ser detectados, suelen utilizar como armas herramientas integradas o utilizadas habitualmente por los administradores, una t��ctica que se denomina "vivir de la tierra".

Objetivos: las grandes corporaciones

El perfil de una v��ctima de Nefilim es relativamente amplio en t��rminos de ubicaci��n y sector, pero los objetivos tienden a ser empresas con unos ingresos superiores a los mil millones de d��lares. La mayor��a de los objetivos se encuentran en Am��rica del Norte y del Sur, pero tambi��n se han observado ataques en toda Europa, Asia y Ocean��a.

Nefilim ha sido capaz de mantener los sitios web con los datos de las v��ctimas en funcionamiento durante m��s de un a?o. El grupo tambi��n es conocido por publicar los datos sensibles de sus v��ctimas durante varias semanas e incluso meses, con el objetivo de asustar a futuras v��ctimas para que paguen el rescate.

V��ctimas de corporaciones y empresas que facturan un m��nimo de mil millones de d��lares al a?o, lo que las convierte en objetivos dif��ciles, pero enormemente atractivos por el volumen de dinero y datos que manejan.