Firma Trend Micro Incorporated, dogłębnie zbadała jedną z najgroźniejszych grup hakerskich wyspecjalizowanych w nowoczesnych atakach ransomware – Nefilim. W raporcie przeanalizowano m.in. wewnętrzne mechanizmy tego oprogramowania oraz jak rozwijają się grupy przestępcze stosujące je. Ponadto wyjaśniono jak krok po kroku wygląda działanie tej grupy przestępczej pod kątem ominięcia radaru zabezpieczeń oraz w jaki sposób zaawansowane platformy, które służą do wykrywania zagrożeń i reagowania na nie, mogą powstrzymać takie ataki.

Analiza cyberataku

Nowoczesne rodzaje oprogramowania ransomware są szczególnie trudne do wykrycia i zablokowania, zwłaszcza dla przeciążonych już zespołów odpowiedzialnych za cyberbezpieczeństwo oraz obsługujących centra operacji bezpieczeństwa (SOC). Może to niekorzystnie wpłynąć nie tylko na reputację i wyniki finansowe przedsiębiorstwa, lecz również na nastroje w samych zespołach SOC.

„Nowoczesne ataki ransomware są ściśle ukierunkowane, elastyczne i niewidoczne. Wykorzystuje się w nich sprawdzone modele udoskonalone w przeszłości przez grupy przestępcze organizujące ataki APT (ang. Advanced Persistent Threats – zaawansowane trwałe zagrożenia). Kradnąc dane i blokując główne systemy, grupy takie jak Nefilim próbują wymusić okup od globalnych przedsiębiorstw osiągających duże dochody” – powiedział Bob McArdle, dyrektor ds. badania cyberprzestępczości w firmie Trend Micro.

Wśród 16 grup organizujących ataki ransomware, które Trend Micro badało w okresie od marca 2020 r. do stycznia 2021 r., najwięcej ofiar zaatakowały grupy Conti, Doppelpaymer, Egregor i REvil, natomiast Cl0p przechowywał w Internecie najwięcej skradzionych danych (5 TB).

Cyberprzestępcy wykorzystują legalne narzędzia

Jednak to Nefilim, uderzając bezlitośnie w organizacje o przychodach przekraczających miliard USD, wymuszał średnio największe okupy. Zgodnie z raportem Trend Micro, atak tej grupy zwykle składa się z następujących faz:

• Hakerzy uzyskują dostęp do systemu, wykorzystując słabe dane uwierzytelniające w wyeksponowanych usługach opartych na protokole RDP lub innych dostępnych z zewnątrz usługach HTTP.
• Po wtargnięciu do systemu używają legalnych narzędzi administracyjnych, aby przeprowadzić eksplorację w poziomie i znaleźć systemy, z których można ukraść, a następnie zaszyfrować wartościowe dane.
• Za pomocą narzędzia Cobalt Strike i protokołów będących w stanie ominąć zapory, takich jak HTTP, HTTPS i DNS, tworzą system „zgłoszeń automatycznych”.
• Odporne usługi hostingowe są wykorzystywane na potrzeby serwerów C&C.
• Hakerzy kradną dane i publikują je w serwisach WWW chronionych przez system TOR w celu wymuszenia okupu. W ubiegłym roku grupa Nefilim opublikowała około 2 TB danych.
• Pakiet oprogramowania ransomware jest uruchamiany ręcznie po kradzieży wystarczającej ilości danych.

Trend Micro ostrzegał już, że sprawcy ataków ransomware często wykorzystują legalne narzędzia, takie jak AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec i MegaSync, aby osiągnąć swoje cele w sposób niezauważony. Analitykom, którzy pracują w centrach operacji bezpieczeństwa, może to utrudniać przeglądanie dzienników zdarzeń dotyczących różnych części środowiska w celu uzyskania szerszego obrazu i wykrycia zagrożeń.

Ochrona przed zagrożeniem

„Nasz najnowszy raport jest lekturą obowiązkową dla każdego przedstawiciela branży, który chce dogłębnie zrozumieć tę szybko rosnącą gałąź podziemnej gospodarki oraz dowiedzieć się, jak rozwiązania typu Trend Micro Vision One pomagają w walce z takimi zagrożeniami”.

Trend Micro Vision One monitoruje i koreluje podejrzane zachowania w wielu warstwach – punktach końcowych, systemach poczty elektronicznej, serwerach i obciążeniach przetwarzanych w chmurze – tak, aby sprawcy ataków nie mieli się gdzie ukryć. Pozwala to szybciej reagować na incydenty i powstrzymywać ataki, zanim zdążą one wyrządzić poważne szkody.

Z całym raportem Trend Micro “Modern Ransomware’s Double Extortion Tactics and How to Protect Enterprises Against Them” można zapoznać się tutaj: https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/modern-ransomwares-double-extortion-tactics-and-how-to-protect-enterprises-against-them.