Ciberdelitos: cómo es Nefilim, el ransomware que les roba datos a los más ricos

Apunta a infectar los sistemas de organizaciones que facturan más de 1.000 millones de dólares

Compartir
Compartir articulo
Los ataques de ransomware son un tipo de ciberdelito que implica el secuestro de información para luego pedir un rescato a cambio EFE/Rob Engelaar/Archivo
Los ataques de ransomware son un tipo de ciberdelito que implica el secuestro de información para luego pedir un rescato a cambio EFE/Rob Engelaar/Archivo

Los ataques de ransomware son una de las amenazas más dañinas para las organizaciones, en términos tanto operativos como económicos así como de reputación. En los últimos años, este tipo de ataques ha ido evolucionando en sus estrategias para obtener mayores beneficios, como ocurre con Nefilim, una de las familias modernas que más éxito tienen, principalmente por dirigirse a las organizaciones que facturan más de 1.000 millones de dólares.

El ransomware es un tipo de ciberamenaza que infecta un equipo o una red para encriptarlos y robar la información que contienen, y para su liberación exigen a cambio un pago, generalmente en una criptomoneda. Pero los ataques modernos son selectivos, adaptables y sigilosos, y utilizan enfoques que ya han sido probados y perfeccionados por los grupos de amenazas persistentes avanzadas (APT), como advierten desde la empresa de ciberseguridad Trend Micro.

Así, los actores del ransomware moderno, como los que están detrás de Nefilim, realizan movimientos laterales como los actores de las APT para tratar de encontrar sistemas importantes en la red de la víctima, que tienen más probabilidades de contener datos sensibles para robar y cifrar.

Ponen en práctica la denominada doble extorsión, por la que amenazan con filtrar los datos sensibles que fueron robados antes de desplegar el ransomware en sus redes comprometidas, como menciona la compañía de ciberseguridad en los resultados de su estudio “El ransomware’ moderno, las técnicas que utilizan y el tipo de organizaciones a las que dirigen sus ataques”.

La compañía destaca la existencia de distintos grupos de ciberdelincuentes que se encargan de las distintas fases de los ataques. “Esto es el subproducto de una reciente evolución en las operaciones comerciales de los ciberdelincuentes: los hackers se asocian ahora con los actores del ransomware para monetizar las infracciones relacionadas con la piratería”, explican.

También recurren a herramientas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync para lograr su objetivo final mientras permanecen ocultos. Como apuntan los investigadores, esto puede dificultar que los analistas de los centros de operaciones de seguridad (SOC), que examinan los registros de eventos de diferentes partes del entorno, tengan una visión general del panorama general y detecten los ataques.

Los ciberdelincuentes explotan vulnerabilidades conocidas para ingresar a los sistemas (REUTERS/Kacper Pempel/Illustration/File Photo)
Los ciberdelincuentes explotan vulnerabilidades conocidas para ingresar a los sistemas (REUTERS/Kacper Pempel/Illustration/File Photo)

La mira en quienes tienen mayores ingresos

El estudio se ocupa en total en 16 grupos de malware moderno, analizados entre marzo de 2020 y enero de 2021, de los cuales Conti, Doppelpaymer, Egregor y REvil lideraron el número de víctimas expuestas, y Cl0p tuvo la mayor cantidad de datos robados alojados ‘online’, con 5 TB.

Nefilim es uno de los grupos de ransomware más lucrativos; con su enfoque en las organizaciones que registran más de 1.000 millones de dólares de facturación, es el que obtuvo los mayores ingresos medios. Y publicó alrededor de 2 TB de datos el año pasado.

Los analistas vinculan Nefilim con Nemty, tanto por el parecido de las primeras versiones de su código como porque su modelo de negocio, como Ransomware as a Service, se asemeja también al de Nemty.

Los actores detrás de Nefilim aprovechan servicios de escritorio remoto expuestos y exploits disponibles públicamente para acceder a las redes corporativas, donde empiezan a descargar algunas herramientas, entre las que se encuentra el emulador Cobalt Strike, que implanta balizas con las que pueden establecer una conexión remota y ejecutar comandos. También utilizan Process Hacker, que sustituye al administrador de tareas de Windows para tener control sobre los procesos del equipo y desactivar sistemas de seguridad como el antivirus, y Mimikatz, para robar credenciales.

Para ejecutar algunas herramientas como administrador, los actores aprovecharon una vulnerabilidad en el Modelo de objetos componentes con elevación de privilegios (CVE-2017-0213), que ya había sido descubierta y parcheada en 2017, pero que no se había corregido en los equipos afectados Nefilim.

Cómo protegerse

La compañía de seguridad subraya la importancia de instalar las actualizaciones y parches de seguridad, que se presentan como una barrera de contención para los sistemas de las organizaciones ante vulnerabilidades conocidas y desconocidas, pero también señala como un riesgo los servicios de red privada virtual (VPN) que están expuestos a redes poco fiables.

Los sistemas de prevención de intrusos establecen, además, una capa adicional de seguridad en el acceso en una red informática, a la que protege de potenciales vulnerabilidades y permite ganar tiempo hasta la disponibilidad de un parche.

Los investigadores de seguridad recomiendan a las organizaciones realizar escáneres periódicos de los sistemas, equipos y programas, lo que puede ayudar a desvelar potenciales accesos a la red. Además, recomiendan implementar modelos administrativos de menor privilegio, y sistemas de autenticación robustos como los que emplean varios factores.

(Con información de Portaltic)

SEGUIR LEYENDO:

Últimas Noticias

EN VIVO: así está el tránsito en las principales vías de Bogotá hoy, 19 de marzo

No se reportan mayores inconvenientes en la movilidad de la capital colombiana en las primeras horas del día. ¡Ojo! Hoy comienzan a regir las nuevas tarifas en los parqueaderos públicos
EN VIVO: así está el tránsito en las principales vías de Bogotá hoy, 19 de marzo

Austin, Texas enfrenta una histórica caída en los precios de vivienda y alquileres

Este declive se atribuye a una mezcla de sobreconstrucción y una desaceleración tanto en el aumento de empleo como en el crecimiento poblacional, poniendo fin a un lapso en el cual los costos de inmuebles en la ciudad se incrementaron en más de un 60% desde 2020 hasta la primavera de 2022
Austin, Texas enfrenta una histórica caída en los precios de vivienda y alquileres

Las mejores canciones para escuchar en Apple México en cualquier momento y lugar

Estos son los éxitos en Apple que han logrado mantenerse en el gusto del público mexicano
Las mejores canciones para escuchar en Apple México en cualquier momento y lugar

Los Emiratos Árabes Unidos recurren a la siembra de nubes para enfrentar el desafío del cambio climático

Este método, introducido en la década de 1990 y perfeccionado con inversiones millonarias busca incrementar las precipitaciones en una nación donde el 80% del territorio es desierto y las temperaturas pueden superar los 50 grados Celsius en verano
Los Emiratos Árabes Unidos recurren a la siembra de nubes para enfrentar el desafío del cambio climático

La Justicia respaldó las restricciones impuestas por Miami Beach para proteger al público y mantener el orden

Frente a las objeciones legales presentadas por establecimientos nocturnos, la corte dictaminó a favor de mantener las normativas de seguridad implementadas para proteger a ciudadanos y visitantes
La Justicia respaldó las restricciones impuestas por Miami Beach para proteger al público y mantener el orden
MÁS NOTICIAS