Trend Micro brengt moderne ransomware-aanvallen van Nefilim in kaart

Trend Micro onderzoekt de meest succesvolle threat group in moderne ransomware

| Trend Micro | 2 min | 08 juni 2021 15:51
Afbeelding: Vermelding van het gebruik van zero-day LPE- en RCE-exploits bij ransomwareoperaties | Copyright: Trend Micro
Trend Micro, wereldwijd leider in cybersecurity, presenteert een case study naar de Nefilim ransomware group. Het rapport biedt inzicht in de werking van moderne ransomware-aanvallen en geeft inzicht in hoe ransomware-groepen zich in de laatste jaren ontwikkeld hebben, onder de radar opereren en hoe geavanceerde threat detectie en response platforms kunnen helpen dergelijke aanvallen te bestrijden.

Moderne ransomware-families maken detectie en response significant lastiger voor de al enorm drukke SOC- en IT security-teams. Goede detectie en response is daarbij niet alleen belangrijk voor de bottom line en de corporate reputatie, maar ook voor het welzijn van deze teams.

“Moderne ransomware-aanvallen zijn gericht, flexibel en onopvallend. Zij maken gebruik van bewezen methoden die in het verleden voor APT-groepen geperfectioneerd zijn. Door data te stelen en belangrijke systemen af te sluiten proberen groepen als Nefilim winstgevende bedrijven af te persen”, zegt Bob McArdle, Director of Cybercrime Research voor Trend Micro. “Ons laatste rapport is een must-read voor iedereen in de industrie die meer wil weten over de snelgroeiende underground economy.”

Van de 16 ransomware groepen die onderzocht zijn tussen maart 2020 en januari 2021, maken Conti, Doppelpaymer, Egregor en REvil de meeste slachtoffers. Daarnaast hostte CI0p de meest gestolen data online met 5TB. Nefilim verdiende het meeste geld aan zijn aanvallen, mede door zijn meedogenloze focus op organisaties die meer dan $1 miljard dollar aan omzet hebben.
Een Nefilim-aanval omvat doorgaans de volgende fasen:
  • Initiële toegang waarbij misbruik wordt gemaakt van zwakke credentials op blootgestelde RDP-servers of andere externe HTTP-services;
  • Eenmaal binnen worden legitieme admin tools gebruikt voor laterale bewegingen met als doel waardevolle systemen te vinden voor datadiefstal en encryptie;
  • Een ‘call home’-systeem wordt toegepast met behulp van Cobalt Strike en protocollen die firewalls kunnen passeren, zoals HTTP, HTTPS en DNS;
  • Bulletproof hosting services worden gebruikt voor C&C servers;
  • Data wordt geëxfiltreerd en gepubliceerd op door TOR beschermde websites die later gebruikt worden om slachtoffers af te persen. Nefilim publiceerde vorig jaar zo’n 2 TB aan data;
  • Ransomware payload wordt handmatig gelanceerd als genoeg data geëxfiltreerd is.
Trend Micro waarschuwde eerder al eens voor het gebruik van legitieme tools als AdFind, Colbart Strike, Mikikatz, Process Hacker, PsExec en MegaSync, die ransomware-aanvallers kunnen helpen verborgen te blijven tijdens hun aanval. Dit kan het een uitdaging maken voor SOC-analisten om het grotere geheel te zien en aanvallen te spotten op basis van event logs van verschillende delen van de omgeving.

Voor meer informatie en een uitgebreide analyse van Nefilim, download hier de case study.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Over Trend Micro

Trend Micro, wereldwijd leider in cybersecurity-oplossingen, zet zich in voor een wereld waarin we digitale informatie veilig kunnen uitwisselen – zowel vandaag als in de toekomst. Door slimme toepassing van onze XGen security-strategie, leveren wij onze innovatieve oplossingen aan consumenten, bedrijven en overheden: connected security voor hun datacenters, cloud-omgevingen, netwerken en endpoints. Onze connected threat defense maakt het eenvoudig om threat intelligence te delen. Ook biedt het centraal inzicht en onderzoek om organisaties zo veerkrachtig mogelijk te maken.
Meer over Trend Micro

Disclaimer

Dit item is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als het item een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis het originele item leidend.
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191029200614.jpg
Drive value with data
20191029224512.jpg
Het no-nonsense internetbureau
20191030101402.jpg
De grootste Nederlandse site over Android
© 2019-2021, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.