Monitor Más Monitor
Nefilim: el virus informático que roba, pero solo a ricos
Publicación:23-06-2021
TEMA: #Ciberataques
Nefilim es un ransomware usado para atacar empresas y organizaciones con ganancias de más de mil millones de dólares.
En el tema de los ciberataques y la piratería informática, queda claro que nadie está a salvo, y a cualquiera le pueden hackear el ordenador, el móvil, etc, sin que tenga nada que ver si es rico o pobre, currante o conde. Pero hay criminales que prefieren atacar a lo grande, e irse a por los botines más suculentos, como quienes usan el grupo ransomware Nefilim.
Ransomware, el malware preferido
Según un informe de los expertos en ciberseguridad de Trend Micro, los actores del ransomware moderno identifican y apuntan a los datos valiosos, a menudo exfiltrándolos de la organización de la red de la víctima en lugar de simplemente cifrarlos. Esto les da otra vía de extorsión: si la víctima no paga el rescate, el atacante puede amenazar con hacer públicos los datos privados. Y para las empresas que tienen datos de propiedad intelectual, información de propiedad, datos privados de los empleados y datos de los clientes, esto es una preocupación seria.
Porque en su sector, “cualquier filtración de datos conllevará sanciones reglamentarias, demandas judiciales y daños a la reputación”.
La Doble Extorsión
"Esto es el subproducto de una reciente evolución en las operaciones comerciales de los ciberdelincuentes: los 'hackers' se asocian ahora con los actores del 'ransomware' para monetizar las infracciones relacionadas con la piratería", explican.
Para obtener el acceso inicial a las redes de las víctimas, los actores de Nefilim utilizan servicios RDP expuestos y exploits disponibles públicamente. Aprovecharon una vulnerabilidad en el Citrix Application Delivery Controller (CVE-2019-19781), y una vulnerabilidad de elevación de privilegios (EoP) del Windows Component Object Model (COM) que descubrió Google Project Zero, que luego fue corregida por Microsoft en mayo de 2017.
Después de obtener el acceso inicial, los atacantes de Nefilim comienzan por descargar herramientas adicionales en un navegador web. Una descarga significativa es una baliza Cobalt Strike que se utiliza para establecer una conexión remota con el entorno y ejecutar comandos. (Cobalt Strike es una herramienta de penetración post-explotación que permite a los probadores de seguridad atacar la red, controlar el sistema comprometido y exfiltrar datos interesantes, aunque sus capacidades pueden ser mal utilizadas por los atacantes).
Otros archivos descargados son: la herramienta Process Hacker, que se utiliza para terminar los agentes de seguridad de los puntos finales; y Mimikatz, que se utiliza para volcar las credenciales.
Los atacantes se mueven lateralmente una vez que consiguen un punto de apoyo en la red, lo que significa que "utilizarán un sistema comprometido para encontrar otras áreas a las que puedan acceder". Para evitar ser detectados, suelen utilizar como armas herramientas integradas o utilizadas habitualmente por los administradores, una táctica que se denomina "vivir de la tierra".
Objetivos: las grandes corporaciones
El perfil de una víctima de Nefilim es relativamente amplio en términos de ubicación y sector, pero los objetivos tienden a ser empresas con unos ingresos superiores a los mil millones de dólares. La mayoría de los objetivos se encuentran en América del Norte y del Sur, pero también se han observado ataques en toda Europa, Asia y Oceanía.
Nefilim ha sido capaz de mantener los sitios web con los datos de las víctimas en funcionamiento durante más de un año. El grupo también es conocido por publicar los datos sensibles de sus víctimas durante varias semanas e incluso meses, con el objetivo de asustar a futuras víctimas para que paguen el rescate.
Víctimas de corporaciones y empresas que facturan un mínimo de mil millones de dólares al año, lo que las convierte en objetivos difíciles, pero enormemente atractivos por el volumen de dinero y datos que manejan.
« Especial »