Ciberataques bilionários de grupo criminoso têm ações detalhadas em análise

Ciberataques bilionários de grupo criminoso têm ações detalhadas em análise

Por Felipe Gugelmin | Editado por Claudio Yuge | 30 de Junho de 2021 às 17h20
Getty Images

Conforme os ataques de ransomware se tornam mais comuns, atingindo empresas dos mais diferentes portes e regiões, os grupos envolvidos estão se tornando cada vez mais especializados. Uma pesquisa conduzida pela Trend Micro mostra que, apesar de não ser a organização mais ativa, o Nefilim se tornou a mais lucrativa ao focar em alvos corporativos que possuem receitas superiores a US$ 1 bilhão — e a análise detalha os passos do modus operandi da associação cibercriminosa.

Segundo a pesquisa conduzida pela empresa de segurança, os criminosos sequer figuram entre a lista dos grupos mais ativos: Conti, Doppelpaymer, Egregor e REvil são os que mais conduzem ataques e tem ganhado notoriedade por isso. Já o Cl0p foi o responsável pelo maior número de dados roubados — cerca de 5 TB em arquivos —, enquanto o Nefilim teve a renda média mais alta em sua campanha de extorsões.

"Os ataques modernos de ransomware são altamente direcionados, adaptáveis e furtivos – usando abordagens comprovadas e aperfeiçoadas por grupos APT (Grupos de Ameaça Persistente Avançada) no passado. Ao roubar dados e bloquear sistemas importantes, grupos como o Nefilim tentam extorquir organizações globais altamente rentáveis", explica Bob McArdle, diretor de Pesquisa de Crimes Cibernéticos da Trend Micro.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Veja como funcionam os ataques do Nefilim:

  • O acesso inicial acontece explorando credenciais fracas em serviços RDP expostos ou serviços HHTP externos;
  • Uma vez dentro do sistema, o grupo usa ferramentas de administração legítimas para ganhar acesso lateral e encontrar sistemas valiosos para o roubo e a criptografia de dados;
  • Um sistema “call home” é criado usando o Cobalt Strike e protocolos que podem passar por firewalls, como HTTP, HTTPS e DNS;
  • Serviços de hospedagem seguros são usados para servidores C&C;
  • Os dados capturados são publicados em sites protegidos por TOR, e as vítimas são notificadas para pagarem o resgate exigido;
  • A carga útil de ransomware é lançada manualmente assim que dados suficientes são extraídos.

Segundo a Trend Micro, o Nefilim publicou aproximadamente 2 TB em dados roubados como resultado de suas operações em 2020. Para se proteger de ataques do tipo, empresas devem investir em estruturas de proteção separadas por camadas, bem como orientar funcionários e departamentos de TI a manter softwares atualizados e a não permitir que dispositivos externos sejam usados dentro de seus sistemas.

No começo de junho, a empresa de segurança divulgou um relatório que mostra que a maioria dos ataques se focam em explorar brechas conhecidas e, muitas vezes, já corrigidas por patches de atualização. Ela afirma que não há nada de realmente único que diferencie a ação de grupos focados em ofensivas de ransomware, e que a melhor forma de evitar se tornar uma vítima é seguir com rigor orientações básicas de defesa.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.