En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts. En savoir plus et gérer ces paramètres. OK X
 
 

 

 

Dossiers

Trend Micro Research se penche sur l’un des types de menaces les plus performants

Publication: 20 juin

Partagez sur
 
Le ransomware Nefilim cible les entreprises ayant un chiffre d’affaires d’au moins 1 milliard de dollars de CA...
 

Trend Micro Incorporated, entreprise japonaise parmi les leaders mondiaux en matière de cybersécurité, annonce la publication d’un rapport sur le groupe de ransomware Nefilim, apportant ainsi une analyse approfondie sur le fonctionnement de ce type d’attaques. Intitulé Les nouvelles familles de ransomwares complexifient la détection et la réponse aux menaces pour les équipes des SOC, déjà fortement sollicitées. In fine ces attaques impactent non seulement la stabilité financière et la réputation de l’entreprise, mais également le confort de travail des équipes sécurité.

« Les attaques actuelles de ransomwares sont hautement ciblées, évolutives et furtives. Elles s’appuient sur des approches éprouvées et précédemment perfectionnées par les groupes APT. En usurpant des données et en verrouillant les systèmes clés, des groupes tels que Nefilim cherchent à extorquer des organisations mondiales très rentables », déclare Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Notre dernier rapport est une lecture incontournable pour tous ceux qui, dans le secteur de la sécurité, souhaitent comprendre cette économie souterraine, à croissance rapide. Il permet également d’appréhender la manière dont certaines solutions peuvent aider à riposter. »

Sur les 16 groupes de ransomwares étudiés entre mars 2020 et janvier 2021, Conti, Doppelpaymer, Egregor et REvil sont ceux ayant ciblé le plus de victimes, et Cl0p celui qui compte le plus grand nombre de données volées hébergées en ligne, soit 5 Téra-octets. Cependant, en se concentrant impitoyablement sur les organisations générant plus d’un milliard de dollars de revenus, Nefilim a quant à lui extorqué le revenu médian le plus élevé.

Comment opère Nefilim ?

Le rapport révèle qu’une attaque Nefilim implique généralement plusieurs étapes :

- Un accès initial exploite les mots de passes faibles sur les services RDP exposés ou des services HTTP accessibles depuis l’extérieur du réseau.

- Une fois à l’intérieur du système, des outils d’administration légitimes sont utilisés pour analyser l’infrastructure et trouver les systèmes pertinents pour le vol et le chiffrement de données.

- Un système « call home » est mis en place avec Cobalt Strike en employant des protocoles qui peuvent traverser des firewalls, tels que HTTP, HTTPS et DNS.

- Des services d’hébergement ultrasécurisés sont utilisés pour les serveurs C&C (Command & Control).

- Les données sont exfiltrées et stockées sur des sites Web protégés par TOR pour ensuite extorquer la victime (en 2020, Nefilim a publié environ 2 Téra-octets de données).

- La charge utile du ransomware est lancée manuellement une fois que suffisamment de données ont été exfiltrées.

https://www.trendmicro.com/

Suivez MtoM Mag sur le Web

 

Newsletter

Inscrivez-vous a la newsletter d'MtoM Mag pour recevoir, régulièrement, des nouvelles du site par courrier électronique.

Email: