Ciberataques bilionários de grupo criminoso têm ações detalhadas em análise

Conforme os ataques de ransomware se tornam mais comuns, atingindo empresas dos mais diferentes portes e regiões, os grupos envolvidos estão se tornando cada vez mais especializados. Uma pesquisa conduzida pela Trend Micro mostra que, apesar de não ser a organização mais ativa, o Nefilim se tornou a mais lucrativa ao focar em alvos corporativos que possuem receitas superiores a US$ 1 bilhão — e a análise detalha os passos do modus operandi da associação cibercriminosa.

• Ataques de ransomware começam a focar em corporações bilionárias
• Boom de ataques de ransomware deve mudar apólices de seguros digitais
• Apesar da atenção de autoridades, ataques de ransomware devem continuar em alta

Segundo a pesquisa conduzida pela empresa de segurança, os criminosos sequer figuram entre a lista dos grupos mais ativos: Conti, Doppelpaymer, Egregor e REvil são os que mais conduzem ataques e tem ganhado notoriedade por isso. Já o Cl0p foi o responsável pelo maior número de dados roubados — cerca de 5 TB em arquivos —, enquanto o Nefilim teve a renda média mais alta em sua campanha de extorsões.

"Os ataques modernos de ransomware são altamente direcionados, adaptáveis e furtivos – usando abordagens comprovadas e aperfeiçoadas por grupos APT (Grupos de Ameaça Persistente Avançada) no passado. Ao roubar dados e bloquear sistemas importantes, grupos como o Nefilim tentam extorquir organizações globais altamente rentáveis", explica Bob McArdle, diretor de Pesquisa de Crimes Cibernéticos da Trend Micro.

Veja como funcionam os ataques do Nefilim:

• O acesso inicial acontece explorando credenciais fracas em serviços RDP expostos ou serviços HHTP externos;
• Uma vez dentro do sistema, o grupo usa ferramentas de administração legítimas para ganhar acesso lateral e encontrar sistemas valiosos para o roubo e a criptografia de dados;
• Um sistema “call home” é criado usando o Cobalt Strike e protocolos que podem passar por firewalls, como HTTP, HTTPS e DNS;
• Serviços de hospedagem seguros são usados para servidores C&C;
• Os dados capturados são publicados em sites protegidos por TOR, e as vítimas são notificadas para pagarem o resgate exigido;
• A carga útil de ransomware é lançada manualmente assim que dados suficientes são extraídos.

Segundo a Trend Micro, o Nefilim publicou aproximadamente 2 TB em dados roubados como resultado de suas operações em 2020. Para se proteger de ataques do tipo, empresas devem investir em estruturas de proteção separadas por camadas, bem como orientar funcionários e departamentos de TI a manter softwares atualizados e a não permitir que dispositivos externos sejam usados dentro de seus sistemas.

No começo de junho, a empresa de segurança divulgou um relatório que mostra que a maioria dos ataques se focam em explorar brechas conhecidas e, muitas vezes, já corrigidas por patches de atualização. Ela afirma que não há nada de realmente único que diferencie a ação de grupos focados em ofensivas de ransomware, e que a melhor forma de evitar se tornar uma vítima é seguir com rigor orientações básicas de defesa.