Ransomware Nefilim logra penetrar redes empresariales

15 Mayo 2020
Alto

Un nuevo ransomware conocido como Nefilim está causando estragos, atacando a un Importante Holdings de Sri Lanka y a un gigante de envío australiano Toll Group.

MAS Holdings

Los ciberdelincuentes atacaron MAS Holdings, la compañía que fabrica lencería para Beyoncé, Victoria's Secret y otros, el 5 de mayo, alegando que robaron más de 300 GB de datos de la compañía de Sri Lanka. Luego publicaron algunos de los archivos robados en línea y exigieron un rescate, amenazando con publicar el resto de los datos si no se satisfacen sus demandas.

Toll Group

Nefilim también se ha dirigido al gigante de envío australiano Toll Group. Al igual que con MAS Holdings, los delincuentes exigieron el pago de la compañía, amenazando con publicar los datos robados si no se satisfacen las demandas. Toll Group, sin embargo, se mantuvo firme y dejó en claro que no será extorsionado.

El gigante logístico Toll Group ha sido golpeado por ransomware dos veces en tres meses, primero por MailTo, luego por Nefilim. El grupo logístico con sede en Australia ha tenido que suspender los sistemas de TI debido a los ataques. Toll reveló que los piratas informáticos obtuvieron acceso a uno de sus servidores, robaron algunos datos e implementaron el ransomware Nefilim. 

Nefilim ransomware

Nefilim / Nephilim surgió en marzo de 2020 y comparte una parte sustancial del código con otra familia de ransomware, NEMTY. Lo más probable es que los operadores de ransomware Nefilim se infiltren en el sistema a través de servidores RDP vulnerables antes de expandirse a otros métodos de ataque.

El código de Nefilim comparte muchas similitudes notables con el ransomware Nemty; La principal diferencia es el hecho de que Nefilim ha eliminado el componente Ransomware-as-a-Service (RaaS). También gestiona los pagos a través de la comunicación por correo electrónico en lugar de hacerlo a través de un sitio de pago Tor. No hay nada que indique que los mismos actores de amenaza están detrás de Nemty y Netfilim.

Nefilim utiliza el cifrado AES-128 para cifrar los archivos de la víctima. Un RSA-2048 integrado en el ejecutable del ransomware cifrará la clave de cifrado AES. La clave AES cifrada se agregará a cada clave cifrada. El ransomware también agrega una cadena "NEFILIM" como marcador de archivo a todos los archivos cifrados. Después de la infección, los archivos cifrados reciben la extensión  .Nefilim o .NEPHILIM agregado a sus nombres de archivo (por ejemplo, un archivo llamado 1.doc se llamaría 1.doc.NEFILIM).

El grupo Nefilim opera mediante doble extorsión. El método implica no solo cifrar los archivos de los usuarios, sino también amenazar con publicar los datos en línea mediante tácticas de nombre y vergüenza.

Panorama

El ransomware continúa expandiendo su alcance a medida que los actores de amenazas continúan presentando nuevas variantes y familias de ransomware. Los sectores de la salud, el gobierno y la educación fueron el receptor de muchos de estos ataques el año pasado. Desafortunadamente, muchos se sienten presionados a pagar el rescate para evitar la parálisis de las operaciones y la pérdida de datos valiosos.

Se recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reduce las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Nefilim #malware #Nephilim #ransomware #RDP #AES-128


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.