Trend Micro menar att det är tydligt att tillvägagångssättet som cyberkriminella bakom moderna ransomwarefamiljer använder gör det betydligt svårare för redan pressade SOC- och IT-säkerhetsteam att upptäcka och oskadliggöra attacker.
Av de 16 grupper som företaget studerat mellan mars 2020 och januari 2021 var det grupperna Conti, Doppelpaymer, Egregor och Revil som hade flest antal offer. Cl0p var dock den grupp med mest stulna data, hela 5TB. Nefilim, som särskilt riktar in sig på företag med mer än en miljard dollar i intäkter, var dock det ransomware som lyckats få de högsta medianintäkterna via sin utpressning.
En typisk attack av Nefilim innehåller följande steg:
- För att först ta sig in utnyttjas svaga lösenord till sårbara RDP-tjänster eller andra externt riktade HTTP-tjänster.
- Väl inne används legitima administrationsverktyg för att röra sig lateralt i nätverket och hitta värdefulla system att stjäla data ur och kryptera.
- Ett “call home”-system sätts upp med Cobalt Strike och protokoll som kan passera genom brandväggar, som HTTP, HTTPS och DNS.
- Tjänster för så kallad "bulletproof hosting" används som ledningsservrar.
- Data utvinns och publiceras på webbplatser skyddade av Tor, för att sedan utpressa offret. Bara förra året publicerade Nefilim cirka 2TB data.
- Kravet på lösensumma ställs manuellt när man kommit över tillräckligt med data.