Forskere har gitt en casestudie på Nefilim, en ransomware-operatør som bruker “dobbel-utpressing” -taktikk for å sikre betaling fra offerorganisasjoner.
Ransomware er en form for skadelig programvare som er opprettet for å kryptere kompromitterte systemer. Når den lander på en sårbar maskin – enten via en phishing-melding, programvaresårbarhet, stjålet tilgangsinformasjon eller andre midler – vil filer og stasjoner bli kryptert og kan bare gjenopprettes med en dekrypteringsnøkkel.
Krypteringsnøkkelen er gulroten dinglet foran ofrene, som vanligvis blir lovet en nøkkel og midler for å gjenopprette systemene sine mot betaling. Når det gjelder bedriftsaktører, kan løsepenger kreve millioner av dollar – og det er aldri noen garanti for at en nøkkel vil bli utstedt eller vil være teknisk egnet for restaureringsarbeid.
Uttrykket “ransomware” har blitt kjent for allmennheten etter hvert som vi hører om flere saker hver uke.
De siste månedene fikk Colonial Pipeline et ransomware-utbrudd som til slutt forårsaket drivstoffmangel over deler av USA, og etter en infeksjon i Irlands nasjonale helsetjeneste opplever HMS fortsatt “betydelig” forstyrrelse.
Det som gjør ransomware annerledes er muligheten for “dobbel-utpressing”, en relativt ny taktikk designet for å øke presset på ofrene for å betale opp. Under en cyberangrep vil ransomware-operatører, inkludert Maze, Nefilim, REvil og Clops, stjele konfidensielle data og true med å frigjøre eller selge denne informasjonen på et lekkasjenettsted.
Tirsdag publiserte Trend Micro en casestudie som undersøkte Nefilim, en ransomware-gruppe forskerne mener er, eller var, assosiert med Nemty opprinnelig som et ransomware-as-a-service (RaaS) antrekk.
Nemty dukket opp på scenen i 2019, men sammen med Sentinel Labs sier Trend Micro at Nefilim stammer fra mars 2020.
Begge skuespillerne, sporet av firmaet som “Water Roc, “tilbød RaaS abonnementstjenester basert på en splittelse på 70/30, med marginer redusert til 90/10 når høyprofilerte ofre ble haget av tilknyttede selskaper.
Trend Micro sier at Nefilim ofte fokuserer på eksponerte Remote Desktop Services (RDP) -tjenester og offentlig proof-of-concept (PoC) utnyttelse av kode for sårbarheter. Disse inkluderer CVE-2019-19781 og CVE-2019-11634, som begge er kjent feil i Citrix gateway-enheter som mottok oppdateringer i 2020.
Imidlertid når ikke-oppdaterte tjenester blir funnet, lanseres utnyttelseskode og innledende tilgang oppnås. Nefilim begynner med å laste ned et Cobalt Strike-fyrtårn, Process Hacker – brukes til å avslutte sikkerhetsagenter for endepunkter – Mimikatz-legitimasjonsdumper og tilleggsverktøy.
I ett tilfelle dokumentert av teamet, kunne Nefilim også dra nytte av CVE-2017-0213, en gammel sårbarhet i Windows Component Object Model (COM) -programvare. Mens en oppdatering ble utstedt tilbake i 2017, var feilen fremdeles til stede og tillot gruppen å eskalere sine privilegier til administratornivåer.
Ransomware-operatørene kan også bruke stjålet eller lett tvunget legitimasjon for å få tilgang til bedriftsnettverk og for lateral bevegelse.
MEGAsync kan brukes til å exfiltrere data under angrep. Nefilim ransomware vil da bli distribuert og vil begynne å kryptere innhold. Utvidelser varierer, men gruppen har vært knyttet til utvidelsene .Nephilim, Merin og .Off-White.
Det genereres en tilfeldig AES-nøkkel for hver fil i kø for kryptering. Den skadelige programvaren vil deretter dekryptere et løsepengernotat ved hjelp av en fast RC4-nøkkel som gir e-postadresser for ofre å kontakte dem angående betaling.
“For å aktivere fildekryptering i tilfelle offeret betaler løsepenger, krypterer malware den genererte AES-nøkkelen med en fast RSA-nøkkel og legger den til den krypterte filen,” sier forskerne. “Til dags dato er det bare angriperne som kan dekryptere denne ordningen ettersom de alene eier den sammenkoblede private RSA-nøkkelen.”
Når det gjelder ofre, har Nefilim oftest vært forbundet med angrep mot organisasjoner som genererer en årlig inntekt på 1 milliard dollar eller mer; Imidlertid har malwareoperatørene også rammet mindre selskaper tidligere.
Flertallet av ofrene er i USA, etterfulgt av Europa, Asia og Oseania.
“Moderne angripere har gått videre fra utbredt massepostet, vilkårlig ransomware til en ny modell som er mye farligere,” sier Trend Micro. “I dag er selskaper utsatt for disse nye ransomware-angrepene på APT-nivå. De kan faktisk være verre enn APT-er fordi ransomware ofte ender med å ødelegge data, mens informasjon-stjele APT-er nesten aldri er ødeleggende. Det er et presserende behov for å forsvare organisasjoner mot ransomware-angrep, og nå er innsatsen mye høyere. ”
Tidligere og relatert dekning
Necro Python-bot fornyet med ny VMWare, serverutnyttelse – Perfekt storm: Svindel skyter i været fra pandemien
FBI, DOJ for å behandle ransomware-angrep med lignende prioritet som terrorisme
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Beslektede emner:
Security TV Data Management CXO Data Centers 