Trend Micro Incorporated, entreprise japonaise parmi les leaders mondiaux en matière de cybersécurité, annonce la publication d’un rapport sur le groupe de ransomware Nefilim, apportant ainsi une analyse approfondie sur le fonctionnement de ce type d’attaques. Intitulé Les nouvelles familles de ransomwares complexifient la détection et la réponse aux menaces pour les équipes des SOC, déjà fortement sollicitées. In fine ces attaques impactent non seulement la stabilité financière et la réputation de l’entreprise, mais également le confort de travail des équipes sécurité.
« Les attaques actuelles de ransomwares sont hautement ciblées, évolutives et furtives. Elles s’appuient sur des approches éprouvées et précédemment perfectionnées par les groupes APT. En usurpant des données et en verrouillant les systèmes clés, des groupes tels que Nefilim cherchent à extorquer des organisations mondiales très rentables », déclare Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Notre dernier rapport est une lecture incontournable pour tous ceux qui, dans le secteur de la sécurité, souhaitent comprendre cette économie souterraine, à croissance rapide. Il permet également d’appréhender la manière dont certaines solutions peuvent aider à riposter. »
Sur les 16 groupes de ransomwares étudiés entre mars 2020 et janvier 2021, Conti, Doppelpaymer, Egregor et REvil sont ceux ayant ciblé le plus de victimes, et Cl0p celui qui compte le plus grand nombre de données volées hébergées en ligne, soit 5 Téra-octets. Cependant, en se concentrant impitoyablement sur les organisations générant plus d’un milliard de dollars de revenus, Nefilim a quant à lui extorqué le revenu médian le plus élevé.
Le rapport révèle qu’une attaque Nefilim implique généralement plusieurs étapes :
Un accès initial exploite les mots de passes faibles sur les services RDP exposés ou des services HTTP accessibles depuis l’extérieur du réseau.
Une fois à l’intérieur du système, des outils d’administration légitimes sont utilisés pour analyser l’infrastructure et trouver les systèmes pertinents pour le vol et le chiffrement de données.
Un système « call home » est mis en place avec Cobalt Strike en employant des protocoles qui peuvent traverser des firewalls, tels que HTTP, HTTPS et DNS.
Des services d’hébergement ultrasécurisés sont utilisés pour les serveurs C&C (Command & Control).
Les données sont exfiltrées et stockées sur des sites Web protégés par TOR pour ensuite extorquer la victime (en 2020, Nefilim a publié environ 2 Téra-octets de données).
La charge utile du ransomware est lancée manuellement une fois que suffisamment de données ont été exfiltrées.