Así funciona Nefilim, el ransonware que ataca a los ricos

Los ataques de ransomware son una de las amenazas más dañinas para las organizaciones, en términos tanto operativos como económicos y de reputación. En los últimos años han evolucionado sus estrategias para obtener mayores beneficios, como ocurre con Nefilim, una de las familias modernas que más éxito tienen, principalmente por dirigirse a las organizaciones que facturan más de 1.000 millones de dólares.

El ransomware es un tipo de ciberamenaza que infecta un equipo o una red para encriptarlos y robar la información que contienen, y para su liberación exigen a cambio un pago, generalmente en una criptomoneda. Pero los ataques modernos son selectivos, adaptables y sigilosos. Utilizan enfoques que ya han sido probados y perfeccionados por los grupos de amenazas persistentes avanzadas (APT), como advierten desde Trend Micro.

Así, los actores del ransomware moderno, como los que están detrás de Nefilim, realizan movimientos laterales como los actores de las APT para tratar de encontrar sistemas importantes en la red de la víctima, que tienen más probabilidades de contener datos sensibles para robar y cifrar.

Robo de datos

La compañía destaca la existencia de distintos grupos de ciberdelincuentes que se encargan de las distintas fases de los ataques. «Esto es el subproducto de una reciente evolución en las operaciones comerciales de los ciberdelincuentes: los hackers se asocian ahora con los actores del ransomware para monetizar las infracciones relacionadas con la piratería», explican.

También recurren a herramientas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync para lograr su objetivo final mientras permanecen ocultos. Como apuntan desde Trend Micro, esto puede dificultar que los analistas de los centros de operaciones de seguridad (SOC), que examinan los registros de eventos de diferentes partes del entorno, tengan una visión general del panorama general y detecten los ataques.

El estudio se ocupa en total en 16 grupos de malware moderno, analizados entre marzo de 2020 y enero de 2021, de los cuales Conti, Doppelpaymer, Egregor y REvil lideraron el número de víctimas expuestas, y Cl0p tuvo la mayor cantidad de datos robados alojados online, con 5 TB.

Nefilim es uno de los grupos de ransomware más lucrativos. Cn su enfoque en las organizaciones que registran más de 1.000 millones de dólares de facturación, es el que obtuvo los mayores ingresos medios y publicó alrededor de 2 TB de datos el año pasado.

K. Tovar

Fuente: dpa