Cargando...
Nefilim es un ransomware que ataca a los ricos

Tecnología > Delitos Informáticos

Así atacan a las empresas que valen más de US$ 1.000 millones

Los hackers roban la información de una red y luego exigen un pago a cambio de la liberación de los datos

Tiempo de lectura: -'

22 de junio de 2021 a las 13:43

Los ataques de ransomware son una de las amenazas más dañinas para las organizaciones tanto en términos operativos, como económicos y de reputación, y en los últimos años han evolucionado sus estrategias para obtener mayores beneficios. Este es el caso de Nefilim, una de las familias de ransomware modernas que más éxito tiene, principalmente, por dirigirse a las organizaciones que facturan más de mil millones de dólares.

El ransomware es un tipo de ciberamenaza que infecta un equipo o una red para robar la información que contiene. Luego, los hackers exigen un pago a cambio de la liberación de los datos, generalmente en una criptomoneda. Según advierten desde la compañía de ciberseguridad Tren Micro, los ataques modernos son selectivos, adaptables y sigilosos, y utilizan enfoques que ya han sido probados y perfeccionados por los grupos de amenazas persistentes avanzadas (APT).  

Los actores del ransomware moderno –como los que están detrás de Nefilim– realizan movimientos laterales para tratar de encontrar sistemas importantes en la red de la víctima porque tienen más probabilidades de contener datos sensibles para robar y cifrar. Así, ponen en práctica la denominada doble extorsión, por la que amenazan con filtrar los datos sensibles que han sido robados antes de desplegar el ransomware en sus redes comprometidas, como recoge Trend Micro en los resultados de su estudio El ransomware moderno, las técnicas que utilizan y el tipo de organizaciones a las que dirigen sus ataques.

La compañía destaca la existencia de distintos grupos de ciberdelincuentes que se encargan de las distintas fases de los ataques. "Esto es el subproducto de una reciente evolución en las operaciones comerciales de los ciberdelincuentes: los hackers se asocian ahora con los actores del ransomware para monetizar las infracciones relacionadas con la piratería", explican.

También recurren a herramientas legítimas como AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec y MegaSync para lograr su objetivo final mientras permanecen ocultos. Como apuntan desde Trend Micro, esto puede dificultar que los analistas de los centros de operaciones de seguridad (SOC), que examinan los registros de eventos de diferentes partes del entorno, tengan una visión general y detecten los ataques.

El ransomware que ataca a los ricos

El estudio se ocupa en total en 16 grupos de malware moderno, analizados entre marzo de 2020 y enero de 2021, de los cuales Conti, Doppelpaymer, Egregor y REvil lideraron el número de víctimas expuestas, y Cl0p tuvo la mayor cantidad de datos robados alojados online con 5 TB.

Nefilim es uno de los grupos de ransomware más lucrativos: con su enfoque en las organizaciones que registran más de 1.000 millones de dólares de facturación es el que obtuvo los mayores ingresos medios. Y publicó alrededor de 2 TB de datos el año pasado.

Los analistas de Trend Micro vinculan Nefilim con Nemty, tanto por el parecido de las primeras versiones de su código como porque su modelo de negocio "Ransomware as a Service", se asemeja también al de Nemty.

Los actores detrás de Nefilim aprovechan servicios de escritorio remoto expuestos públicamente para acceder a las redes corporativas, donde empiezan a descargar algunas herramientas, entre las que se encuentra el emulador Cobalt Strike, que implanta balizas con las que pueden establecer una conexión remota y ejecutar comandos. También utilizan Process Hacker, que sustituye al administrador de tareas de Windows para tener control sobre los procesos del equipo y desactivar sistemas de seguridad como el antivirus, y Mimikatz, para robar credenciales.

Protección frente al ransomware moderno

La compañía de seguridad Tren Micro subraya la importancia de instalar las actualizaciones y parches de seguridad dado que estos se presentan como una barrera de contención para los sistemas de las organizaciones ante vulnerabilidades conocidas y desconocidas. Además, señala que los sistemas de prevención de intrusos establecen una capa adicional de seguridad en el acceso en una red informática, a la que protege de potenciales vulnerabilidades y permite ganar tiempo hasta la disponibilidad de un parche.

Asimismo, la empresa recomienda a las organizaciones realizar escáneres periódicos de los sistemas, equipos y programas, lo que puede ayudar a desvelar potenciales accesos a la red.

Europa Press

Comentarios

Espacio habilitado solo para suscriptores. Suscribite y viví la experiencia más completa de información.

Registrate gratis y seguí navegando.

¿Ya estás registrado? iniciá sesión aquí.

Pasá de informarte a formar tu opinión.

Suscribite desde US$ 245 / mes

Elegí tu plan

Estás por alcanzar el límite de notas.

Suscribite ahora a

Te quedan 3 notas gratuitas.

Accedé ilimitado desde US$ 245 / mes

Esta es tu última nota gratuita.

Se parte de desde US$ 245 / mes

Alcanzaste el límite de notas gratuitas.

Elegí tu plan y accedé sin límites.

Ver planes

Contenido exclusivo de

Sé parte, pasá de informarte a formar tu opinión.

Si ya sos suscriptor Member, iniciá sesión acá

Cargando...