Operadores do ransomware Nefilim apostando alto

Desde abril de 2020, o grupo tem como alvo organizações em várias regiões, incluindo Sul da Ásia, América do Norte, América do Sul, Europa Ocidental e Oceania.

Principais alvos

• Os setores mais visados ​​com base na contagem de ataques divulgados publicamente incluem manufatura ( Mas Holdings , Fisher & Paykel , Stadler Rail , Aban Offshore Limited , etc.) e TI (SPIE Group, Citrix ).
• Outros setores visados ​​pela Nefilim incluem comunicação ( Orange SA ) e transporte ( Toll Group , Arteris SA ).
• Até agora, o Nefilim não visou nenhuma organização do setor de saúde e educação.

Modus operandi

O ransomware foi desenvolvido especificamente para sistemas Windows.

• O grupo explora ativamente a vulnerabilidade do Remote Desktop Protocol (RDP) ou Citrix como seu principal vetor de ataque às organizações-alvo.
• O ransomware usa Mimikatz para coletar credenciais, PSexec para mover lateralmente em uma rede e CobaltStrike para controlar o ambiente.
• O Nefilim usa uma combinação de dois algoritmos diferentes AES-128 e RSA-2048 para criptografar os arquivos das vítimas.
• Como outros grupos proeminentes, os operadores do Nefilim também ameaçam suas vítimas a liberar dados em seu site de vazamento se o valor do resgate não for pago ou uma parte negar entrar em uma negociação de resgate.
• Os atores da ameaça vazam dados de amostra em seu site denominado Vazamentos Corporativos.

Principais conclusões

Embora seja um ransomware relativamente novo, o Nefilim está amadurecendo rapidamente, provavelmente com a ajuda de um suporte de desenvolvimento ativo. Como o ransomware abusa principalmente de portas RDP não seguras, os pesquisadores aconselham as equipes de segurança a serem cautelosas com as portas expostas e a fechar todas as portas não utilizadas. Além disso, os especialistas recomendam definir configurações para limitar as tentativas de login para acesso de administrador de rede RDP.

Fonte: https://cyware.com/news/nefilim-operators-playing-it-big-830ec152