Nefilim-ryhmä jahtaa miljardiluokan yrityksiä

Trend Micron raportti sukeltaa internetin menestyneimmän kiristyshaittaohjelmia tehtailevan kyberrikollisjoukkion maailmaan

Trend Micro julkaisi tänään uuden tapaustutkimuksen Nefilim-ryhmästä. Tutkimus avaa nykyaikaisten kiristysohjelmien käyttöä kyberhyökkäyksissä ja antaa lukijoilleen hyvän kuvan kiristyshaittaohjelmien kehityksestä, käytöstä ja siitä, kuinka kehittyneet uhkien havaitsemis- ja reagointialustat voivat auttaa pysäyttämään hyökkäykset ajoissa.

Nykyaikaiset kiristyshaittaohjelmat ovat huomattavasti aikaisempia kehittyneempiä ja vaikeammin havaittavia, mikä tekee hyökkäysten tunnistamisen ja niihin reagoimisen entistäkin vaikeammaksi entuudestaan ylityöllistetyille SOC- ja tietoturvatiimeille. Tällä on merkitystä niin yrityksen taloudelle kuin maineelle, kuten myös SOC-tiimien hyvinvoinnille ja jaksamiselle.

‒ Nykyaikaiset kiristyshaittaohjelmahyökkäykset ovat tarkasti kohdennettuja, sopeutuvia ja huomaamattomia. Nefilimin kaltaiset ryhmät pyrkivät kiristämään taloudellisesti merkittäviä, kansainvälisiä organisaatioita varastamalla näiden tietoja ja lukitsemalla uhriensa tärkeitä tietojärjestelmiä, kertoo Kalle Salminen, Trend Micron kyberturva-asiantuntija. Uusin tutkimuksemme on pakkoluettavaa kaikille ammattilaisille, jotka haluavat ymmärtää kuinka tämä nopeasti kasvava maanalainen talous toimii ja kuinka sitä vastaan voidaan taistella.

Maalikuun 2020 ja tammikuun 2021 välisenä aikana tutkittiin kaikkiaan 16:sta kiristyshaittaohjelmia tehtailevan rikollisryhmän toimintaa. Eniten tunnistettuja uhreja oli ryhmillä Conti, Doppelpaymer, Egregor ja REvil. Cl0p-ryhmällä oli hallussaan eniten uhreilta kaapattua dataa, yli viiden teratavun verran.

Nefilim-ryhmän mediaanitulot olivat kuitenkin kaikkein korkeimmat, sillä kyberrikollisryhmittymä keskittyy häikäilemättömästi yksinomaan suuriin, yli miljardin dollarin liikevaihdon organisaatioihin.

Nefilimin hyökkäyksen tyypilliset vaiheet ovat:

• Ensimmäisessä vaiheessa järjestelmään tunkeudutaan hyödyntämällä avointen RDP-palvelujen heikkoja salasanoja ja tunnuksia, tai muita ulospäin näkyviä huonosti suojattuja HTTP-palveluja.
• Järjestelmään tunkeutumisen jälkeen ylläpitotyökaluja käytetään lateraaliin liikkumiseen, eli siirtymiseen sisäverkossa järjestelmästä toiseen, etsien arvokkaita ja varastamisen tai lukitsemisen arvoisia tietoja sisältäviä järjestelmiä.
• Verkkoon luodaan salattu tunneli Cobalt Strike -ohjelmistolla ja palomuurit huomaamatta läpäisevillä protokollilla, kuten HTTP, HTTPS ja DNS.
• Komentopalvelmien kanssa käytetään bulletproof hosting -palveluja.
• Data siirretään ulos ja julkaistaan alamaailman suosimassa TOR-verkossa sijaitsevalla suojatulla sivustolla. Nefilim julkaisi viime vuonna noin kaksi teratavua varastettua dataa.
• Kiristyshaittaohjelma aktivoidaan uhrin järjestelmässä, kun kyberrikolliset ovat keränneet riittävästi kiristyskelpoista dataa.

Trend Micro on varoittanut aiemminkin laillisten työkalujen, kuten AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec ja MegaSync, laajasta käytöstä kyberrikollisten käsissä. Niiden avulla hyökkääjät piilottelevat ja peittelevät jälkiään tehokkaasti samalla, kun he tunkeutuvat uhrien järjestelmiin ja varastavat tai salaavat arvokasta dataa. Tämän vuoksi verkkoa ja jatkuvasti päivittyviä lokitiedostoja valvovien SOC-ylläpitäjien on vaikeaa nähdä suurempi kuva ja havaita hyökkäykset.

Trend Micro Vision One valvoo ja korreloi epäilyttävää käyttäytymistä useilta tasoilta - päätelaitteilta, sähköposteista, palvelimista ja pilvityökuormista - varmistaakseen, etteivät hyökkääjät pysty piileskelemään järjestelmissä. Näin ylläpitäjät voivat reagoida havaittuihin uhkiin välittömästi ja pysäyttää hyökkäykset, ennen kuin ne ehtivät saada aikaan merkittävää vahinkoa.

Lisätietoja Trend Micron raportissa, jonka voit ladata täältä.