Ransomware Nefilim: el virus informático que roba, pero solo a los ricos
Nefilim es un ransomware usado para atacar empresas y organizaciones con ganancias de más de mil millones de dólares.
En el tema de los ciberataques y la piratería informática, queda claro que nadie está a salvo, y a cualquiera le pueden hackear el ordenador, el móvil, etc, sin que tenga nada que ver si es rico o pobre, currante o conde. Pero hay criminales que prefieren atacar a lo grande, e irse a por los botines más suculentos, como quienes usan el grupo ransomware Nefilim.
Ransomware, el malware preferido
El 'ransomware' es un tipo de ciberamenaza que infecta un equipo o una red para encriptarlos y robar la información que contienen, y para su liberación exigen a cambio un pago, generalmente en una criptomoneda. Pero los ataques modernos son selectivos, adaptables y sigilosos, y utilizan enfoques que ya han sido probados y perfeccionados por los grupos de amenazas persistentes avanzadas (APT).
Según un informe de los expertos en ciberseguridad de Trend Micro, los actores del ransomware moderno identifican y apuntan a los datos valiosos, a menudo exfiltrándolos de la organización de la red de la víctima en lugar de simplemente cifrarlos. Esto les da otra vía de extorsión: si la víctima no paga el rescate, el atacante puede amenazar con hacer públicos los datos privados. Y para las empresas que tienen datos de propiedad intelectual, información de propiedad, datos privados de los empleados y datos de los clientes, esto es una preocupación seria.
Porque en su sector, “cualquier filtración de datos conllevará sanciones reglamentarias, demandas judiciales y daños a la reputación”.
La Doble Extorsión
Esta táctica es la denominada ‘doble extorsión’, por la que amenazan con filtrar los datos sensibles que han sido robados antes de desplegar el 'ransomware' en sus redes comprometidas, como recoge Trend Micro en los resultados de su estudio sobre el 'ransomware' moderno, las técnicas que utilizan y el tipo de organizaciones a las que dirigen sus ataques. Según el informe, el ataque ya no suele ser obra de una sola persona / grupo: existen distintos grupos de ciberdelincuentes que se encargan de las distintas fases de los ataques.
"Esto es el subproducto de una reciente evolución en las operaciones comerciales de los ciberdelincuentes: los 'hackers' se asocian ahora con los actores del 'ransomware' para monetizar las infracciones relacionadas con la piratería", explican.
Trend Micro se ha centrado en 16 grupos de 'malware' moderno, analizados entre marzo de 2020 y enero de 2021, de los cuales Conti, Doppelpaymer, Egregor y REvil lideraron el número de víctimas expuestas, y Cl0p tuvo la mayor cantidad de datos robados alojados 'online', con 5 TB.
Nefilim, el malware de los mil millones de dólares
Nefilim es uno de los grupos de 'ransomware' más lucrativos; con su enfoque en las organizaciones que registran más de 1.000 millones de dólares de facturación, es el que obtuvo los mayores ingresos medios. Y publicó alrededor de 2 TB de datos el año pasado. Los analistas de Trend Micro vinculan Nefilim con Nemty, tanto por el parecido de las primeras versiones de su código como porque su modelo de negocio, como 'Ransomware as a Service', se asemeja también al de Nemty.
Para obtener el acceso inicial a las redes de las víctimas, los actores de Nefilim utilizan servicios RDP expuestos y exploits disponibles públicamente. Aprovecharon una vulnerabilidad en el Citrix Application Delivery Controller (CVE-2019-19781), y una vulnerabilidad de elevación de privilegios (EoP) del Windows Component Object Model (COM) que descubrió Google Project Zero, que luego fue corregida por Microsoft en mayo de 2017.
Después de obtener el acceso inicial, los atacantes de Nefilim comienzan por descargar herramientas adicionales en un navegador web. Una descarga significativa es una baliza Cobalt Strike que se utiliza para establecer una conexión remota con el entorno y ejecutar comandos. (Cobalt Strike es una herramienta de penetración post-explotación que permite a los probadores de seguridad atacar la red, controlar el sistema comprometido y exfiltrar datos interesantes, aunque sus capacidades pueden ser mal utilizadas por los atacantes).
Otros archivos descargados son: la herramienta Process Hacker, que se utiliza para terminar los agentes de seguridad de los puntos finales; y Mimikatz, que se utiliza para volcar las credenciales.
Los atacantes se mueven lateralmente una vez que consiguen un punto de apoyo en la red, lo que significa que "utilizarán un sistema comprometido para encontrar otras áreas a las que puedan acceder". Para evitar ser detectados, suelen utilizar como armas herramientas integradas o utilizadas habitualmente por los administradores, una táctica que se denomina "vivir de la tierra".
Objetivos: las grandes corporaciones
El perfil de una víctima de Nefilim es relativamente amplio en términos de ubicación y sector, pero los objetivos tienden a ser empresas con unos ingresos superiores a los mil millones de dólares. La mayoría de los objetivos se encuentran en América del Norte y del Sur, pero también se han observado ataques en toda Europa, Asia y Oceanía.
Nefilim ha sido capaz de mantener los sitios web con los datos de las víctimas en funcionamiento durante más de un año. El grupo también es conocido por publicar los datos sensibles de sus víctimas durante varias semanas e incluso meses, con el objetivo de asustar a futuras víctimas para que paguen el rescate.
Víctimas de corporaciones y empresas que facturan un mínimo de mil millones de dólares al año, lo que las convierte en objetivos difíciles, pero enormemente atractivos por el volumen de dinero y datos que manejan.