A gangue da Nephilim Ransomware está ligada a hacks na Citrix

Uma quadrilha criminosa que realiza ataques de ransomware tem como alvo organizações que usam a tecnologia de acesso remoto Citrix que não foi corrigida ou que não possui proteção segura. Eles então roubam dados, liberam malware de criptografia e ameaçam publicar dados para impor pagamentos de resgate, alerta a Equipe Nacional de Estatísticas da Nova Zelândia.

Em um aviso emitido na semana passada, o CERT NZ disse que uma campanha de ataque “avançada e bem projetada” está “atingindo” organizações despreparadas com o Nefilim – também conhecido como Nephilim – ransomware.

Nephilim ransomware

“Sabemos que os invasores obtêm acesso às redes das organizações por meio de sistemas de acesso remoto, como o protocolo de desktop remoto e redes virtuais privadas”, afirmou o CERT NZ em comunicado. “Eles obtêm acesso através de senhas fracas, organizações que não usam autenticação multifator como um nível adicional de segurança ou sistemas de acesso remoto que não foram reparados”.

Após esse grupo de invasores obter acesso a uma rede, os pesquisadores de segurança dizem que estão usando ferramentas legítimas para tentar evitar a detecção.

Quando os invasores obtêm acesso ao sistema remoto, eles usam ferramentas como Mimikatz, PsExec e Cobalt Strike para aumentar privilégios, mover-se lado a lado em uma rede e criar persistência de rede ”, diz CERT NZ.

Extração de dados e, em seguida, Ransomware

Os invasores desta campanha tiveram como objetivo localizar dados confidenciais e depois exportá-los. Depois de terem acesso à rede, instalam a criptografia de malware no maior número possível de sistemas conectados à rede, afirma o CERT NZ. Embora esta campanha inclua o ransomware Nephilim, ele observa que “outro ransomware pode ser usado”.

Quanto ao software direcionado a hackers, “as tecnologias de acesso remoto Citrix foram citadas como uma maneira comum de invasores obterem acesso”, diz o CERT NZ, referindo-se a uma vulnerabilidade Citrix, CVE-2019-19781, que veio à luz em dezembro passado e foi reparada em janeiro em meio a relatos de exploração generalizada.

Especialistas em segurança dizem que, diferentemente dos serviços de ransomware como serviço, como o REvil, também conhecido como Sodinokibi, nos quais as operadoras fornecem código de ransomware a parceiros e dividem lucros, o Nephilim parece estar operando como um “circuito fechado”. »De uma única gangue.

“O Nephilim apareceu em março de 2020 e compartilha uma parte significativa do código com outra família de ransomware, Nemty”, disse a empresa de segurança AlienVault. O Nephilim é outra família de ransomware que esteve envolvida em muitas campanhas destrutivas que ameaçam publicar informações confidenciais sobre as vítimas se elas não cooperarem “com os ataques do atacante”.

A tática de extrair dados e usá-los para forçar as vítimas a pagar resgate foi realizada pela primeira vez pela quadrilha Maze em novembro passado. Desde então, cerca de uma dúzia de outros operadores de RaaS e gangues de ransomware se seguiram.

Um dos ataques mais importantes até o momento pelo ransomware Nefilim foi contra o gigante Toll Group.

Assista ao movimento lateral

Para descobrir se um organismo foi afetado pelo Nefilim, “verifique nos sistemas de acesso remoto se há algum sinal de acesso não autorizado”, aconselha a CERT NZ. “Se um acesso não autorizado for detectado, mais investigações serão necessárias para determinar qualquer movimento lateral na rede”.

Perigo de violação de dados

Como em outras gangues de ransomware que agora praticam a chamada “exfiltração de dados”, o foco dos invasores da Nefilim no roubo de dados antes da criptografia do sistema significa que as organizações não devem apenas recuperar seus sistemas após o ransomware, mas também verifique quais dados foram roubados.

De acordo com as regras de notificação de violações em muitos países, incluindo os EUA e a Europa, de acordo com o Regulamento Geral de Proteção de Dados da UE, se certos tipos de informações pessoais ou financeiras forem roubadas de intrusos, a organização poderá precisar denunciar violações às autoridades e pode enviar alertas de violação às pessoas afetadas.

Pesquisadores do SentinelLabs, divisão de pesquisa do SentinelOne, dizem que a gangue de Nefilim ameaça vazar dados roubados, a menos que as vítimas trabalhem juntas, e historicamente acredita que qualquer tentativa de negociar o tamanho do pagamento do resgate exigido seria bem-sucedida.

Enquanto Maze, DoppelPaymer e REvil tendem a receber a maior parte da cobertura da mídia, o Nephilim é outra família associada a muitas campanhas devastadoras que ameaçam publicar informações confidenciais das vítimas se elas não “colaborarem”. com as demandas do invasor “, observa o SentinelLabs.