Cómo funciona Nefilim: el ransomware que le roba los datos sólo a los ricos

Los ciberataques de ransomware son de las amenazas más dañinas en tiempos recientes dirigidas a distintas organizaciones, tanto privadas como públicas. La evolución técnica y tecnológica de los delincuentes para hackear los sistemas de seguridad y obtener la información que necesitan ha generado que la preocupación de las autoridades aumente. Especialmente ahora que se dio a conocer Nefilim, una de las formas con mayor éxito de robo de datos que va dirigido especialmente a compañías que facturan más de $1 mil millones de dólares.

En los últimos días, los ciberataques de ransomware han tenido mucha proyección al afectar la red de oleoductos más grande de Estados Unidos de Colonial Pipeline o, más recientemente, el hackeo a los almacenes de producción de JBS Foods. Éstas sólo han sido una muestra de la peligrosidad y el caos que pueden generar con estos ataques.

El ransomware es un tipo de ciberamenaza que infecta un equipo o una red para encriptarlos y robar la información que contienen, y para su liberación exigen a cambio un pago, generalmente en una criptomoneda. Pero los ataques modernos son selectivos, adaptables y sigilosos, y utilizan enfoques que ya han sido probados y perfeccionados por los grupos de amenazas persistentes avanzadas (APT), como advierten desde la empresa de ciberseguridad Trend Micro.

Los delincuentes detrás del ransomware moderno, como los que están detrás de Nefilim, realizan movimientos laterales como los actores de las APT para tratar de encontrar sistemas importantes en la red de la víctima, los cuales tienen más probabilidades de contener datos sensibles para robar y cifrar.

La compañía de ciberseguridad destaca que el crimen organizado de ciberdelincuencia tienen diferentes fases en los ataques. Ponen en práctica la denominada doble extorsión, por la que amenazan con filtrar los datos sensibles que fueron robados antes de desplegar el ransomware en sus redes comprometidas. “Los hackers se asocian ahora con los actores del ransomware para monetizar las infracciones relacionadas con la piratería”, asegura Trend Micro.

De acuerdo con el estudio de la empresa de ciberseguridad, que analizó en total a 16 grupos de malware moderno, analizados entre marzo de 2020 y enero de 2021, Conti, Doppelpaymer, Egregor y REvil lideraron el número de víctimas expuestas. Por su parte, Cl0p tuvo la mayor cantidad de datos robados alojados ‘online’, con 5 TB.

Sin embargo, el grupo de ransomware más lucrativo de todos fue Nefilim, con un enfoque en las organizaciones que registran más de $1 mil millones de dólares de facturación, por lo que es lógico que haya sido el que más ingresos promedio generó. Además, Nefilim publicó alrededor de 2 TB de datos el año pasado.

Entre las herramientas que Nefilim utiliza para acceder a las redes corporativas están:

• Cobalt Strike, que implanta balizas con las que pueden establecer una conexión remota y ejecutar comandos internos.
• Process Hacker, que sustituye al administrador de tareas de Windows para tener control sobre los procesos del equipo y desactivas los sistemas de seguridad como el antivirus.
• Mimikatz, que sirve para robar las credenciales.

La compañía resalta la importancia de instalar las actualizaciones y parches de seguridad, evitar los servicios de red privada virtual (VPN) que suelen exponerse en redes poco confiables, realizar escáneres periódicos en los sistemas, equipos y programas para detectar potenciales accesos a la red e implementar modelos administrativos de menor privilegio con sistemas de autenticación robustos como son aquellos que emplean varios factores.

También te puede interesar:

• En qué consiste la estafa de mensajes fraudulentos o “phishing” y cómo prevenirla
• Seguro contra robo de identidad: qué es, qué cubre y cuánto sale
• Qué debes hacer si fuiste víctima de robo de identidad en Estados Unidos