2021-06-09

Ransomware riktar in sig på offer i miljardklassen

Trend Micro har tittat närmare på en av de absolut mest framgångsrika cyberkriminella grupperna inom ransomware – Nefilim.
– Moderna utpressningsattacker är väldigt riktade, anpassningsbara och luriga. Genom att stjäla data och låsa kritiska system, kan grupper som Nefilim komma åt och utpressa mycket lönsamma globala företag, säger Jean Diarbakerli, säkerhetsrådgivare på Trend Micro.

Trend Micro menar att det är tydligt att tillvägagångssättet som cyberkriminella bakom moderna ransomwarefamiljer använder gör det betydligt svårare för redan pressade SOC- och IT-säkerhetsteam att upptäcka och oskadliggöra attacker.

Av de 16 grupper som företaget studerat mellan mars 2020 och januari 2021 var det grupperna Conti, Doppelpaymer, Egregor och Revil som hade flest antal offer. Cl0p var dock den grupp med mest stulna data, hela 5TB. Nefilim, som särskilt riktar in sig på företag med mer än en miljard dollar i intäkter, var dock det ransomware som lyckats få de högsta medianintäkterna via sin utpressning.

En typisk attack av Nefilim innehåller följande steg:

  • För att först ta sig in utnyttjas svaga lösenord till sårbara RDP-tjänster eller andra externt riktade HTTP-tjänster.
  • Väl inne används legitima administrationsverktyg för att röra sig lateralt i nätverket och hitta värdefulla system att stjäla data ur och kryptera.
  • Ett “call home”-system sätts upp med Cobalt Strike och protokoll som kan passera genom brandväggar, som HTTP, HTTPS och DNS.
  • Tjänster för så kallad "bulletproof hosting" används som ledningsservrar.
  • Data utvinns och publiceras på webbplatser skyddade av Tor, för att sedan utpressa offret. Bara förra året publicerade Nefilim cirka 2TB data.
  • Kravet på lösensumma ställs manuellt när man kommit över tillräckligt med data.


Taggar


Leverantörer
Ändra marknad
Till toppen av sidan
Stäng