Trend Micros senaste rapport gör en djupdykning i en av de mest framgångsrika cyberkriminella grupperna inom moderna utpressningsvirus
Trend Micro presenterar idag en studie som tittar närmare på en av de absolut mest framgångsrika cyberkriminella grupperna inom utpressning (så kallat ransomware) ‒ Nefilim.
Rapporten ger en värdefull inblick i hur dessa kriminella grupper utvecklats under de senaste åren och hur de lyckas hålla sin verksamhet under radarn, men även hur avancerade lösningar för upptäckt och åtgärdande kan hjälpa till att stoppa dem. Det är tydligt att tillvägagångssättet som cyberkriminella bakom moderna ransomwarefamiljer använder gör det betydligt svårare för redan pressade SOC- och IT-säkerhetsteam att upptäcka och oskadliggöra attacker.
‒ Moderna utpressningsattacker är väldigt riktade, anpassningsbara och luriga. Genom att stjäla data och låsa kritiska system, kan grupper som Nefilim komma åt och utpressa mycket lönsamma globala företag, säger Jean Diarbakerli, säkerhetsrådgivare på Trend Micro. Vår senaste rapport är viktig läsning för alla i branschen som vill förstå denna snabbt växande undre ekonomi inifrån och ut, och vilka lösningar som finns att ta till för att minska risken för allvarliga attacker.
Av de 16 grupper som studerats mellan mars 2020 och januari 2021 var det grupperna Conti, Doppelpaymer, Egregor och REvil som hade flest antal offer. Cl0p var dock den grupp med mest stulna data, hela 5TB. Nefilim, som särskilt riktar in sig på företag med mer än en miljard USD i intäkter, var dock det ransomware som lyckats få de högsta medianintäkterna via sin utpressning.
En typisk attack av Nefilim innehåller följande steg:
- För att först ta sig in utnyttjas svaga lösenord till sårbara RDP-tjänster eller andra externt riktade HTTP-tjänster.
- Väl inne används legitima administrationsverktyg för att röra sig lateralt i nätverket och hitta värdefulla system att stjäla data ur och kryptera.
- Ett “call home”-system sätts upp med Cobalt Strike och protokoll som kan passera genom brandväggar, som HTTP, HTTPS och DNS.
- Tjänster för så kallad “Bulletproof hosting” används som ledningsservrar.
- Data utvinns och publiceras på webbplatser skyddade av Tor, för att sedan utpressa offret. Bara förra året publicerade Nefilim cirka 2TB data.
- Kravet på lösensumma ställs manuellt när man kommit över tillräckligt med data.
Trend Micro har tidigare varnat för cyberkriminellas utbredda användning av legitima verktyg såsom AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec och MegaSync, för att nå sina mål och förbli oupptäckta. Detta är en stor utmaning för IT-säkerhetsteamen som tittar på händelseloggar från olika delar av miljön för att upptäcka attacker.
Trend Micro Vision One övervakar och jämför misstänkt beteende i flera lager ‒arbetsplatser, e-post, servrar och moln, för att säkerställa att det inte finns någonstans där cyberkriminella kan gömma sig. Detta möjliggör mycket snabbare reaktionstider när olyckan är framme, och team kan stoppa attacker innan de får chans att orsaka allvarlig påverkan på företaget.