Nefilim Ransomware

Los ataques de ‘ransomware’ son una de las amenazas más dañinas para las organizaciones, en términos tanto operativos como económicos y de reputación, y en los últimos años han evolucionado sus estrategias para obtener mayores beneficios, como ocurre con Nefilim, una de las familias modernas que más éxito tienen, principalmente por dirigirse a las organizaciones que facturan más de 1.000 millones de dólares.    El ‘ransomware’ es un tipo de ciberamenaza que infecta un equipo o una red …

Nefilim se encuentra entre las variantes notables de ransomware que utilizan tácticas de doble extorsión en sus campañas. Descubierto por primera vez en  marzo de 2020 , Nefilim amenaza con liberar los datos robados de las víctimas para obligarlas a pagar el rescate. Aparte de su uso de esta táctica, otra característica notable de Nefilim es su similitud con Nemty; de hecho, se cree que es una versión evolucionada del antiguo ransomware.

Proporcionamos un breve análisis de este ransomware activo y cómo defender los sistemas contra él.

Para su acceso inicial, los actores de amenazas detrás de Nefilim utilizan varios afiliados para difundir su malware. Estos afiliados utilizan varios métodos. Según los ataques anteriores, se sabe que Nefilim llega a los sistemas a través de RDP expuestos. Algunos afiliados también utilizan otras vulnerabilidades conocidas para el acceso inicial. Esto está respaldado por varios informes, de los cuales encontramos el uso de la vulnerabilidad Citrix ( CVE-2019-19781 ), un RDP inseguro y de fuerza bruta, para ingresar a un sistema. 

También se ha visto a Nefilim usando herramientas de fiesta para recopilar credenciales que incluyen Mimikatz, LaZagne y NetPass de NirSoft. Las credenciales robadas se utilizan para llegar a máquinas de alto valor como servidores.

Una vez dentro del sistema de la víctima, el ransomware comienza a caer y a ejecutar sus componentes, como el antivirus, las herramientas de exfiltración y, finalmente, el propio Nefilim.

Los atacantes utilizan varias herramientas legítimas para el movimiento lateral. Por ejemplo, utiliza PsExec o Windows Management Instrumentation (WMI) para el movimiento lateral, soltando y ejecutando otros componentes, incluido el propio ransomware. Se ha observado que Nefilim utiliza un archivo por lotes para finalizar ciertos procesos y servicios. Incluso utiliza herramientas de terceros como PC Hunter, Process Hacker y Revo Uninstaller para finalizar procesos, servicios y aplicaciones relacionados con antivirus. También utiliza AdFind, BloodHound o SMBTool para identificar directorios activos y / o máquinas que están conectadas al dominio.

Un aspecto notable de las variantes recientes de ransomware son sus capacidades de exfiltración de datos. En cuanto a Nefilim, se ha observado que copia datos de servidores o directorios compartidos a un directorio local y los archiva usando 7-Zip. Luego usa MEGAsync para exfiltrar estos datos.

Entradas relacionadas

Dejar un Comentario