Los investigadores de ciberseguridad han advertido sobre el aumento de la actividad del nuevo ransomware Nefilim, también conocido como Nemty, que opera ataques de doble extorsión al combinar el robo de datos con cifrado y requisitos de pago de rescate y amenazas de fuga de datos.

En un artículo publicado la semana pasada en su sitio web, la empresa de ciberseguridad Sophos detalla cómo la falta de seguimiento de las credenciales de la cuenta “fantasma” facilitó dos ataques cibernéticos recientes, uno de los cuales involucró a Nefilim. El ransomware afectó a más de 100 sistemas.

Los equipos de respuesta rápida de Sophos rastrearon la piratería inicial en una cuenta de administrador de alto nivel que los ciberdelincuentes habían comprometido más de cuatro semanas antes de lanzar el ransomware.

Durante ese tiempo, los atacantes pudieron moverse silenciosamente por la red, robar credenciales de una cuenta de administrador de dominio, encontrar y extraer cientos de gigabytes de datos, antes de lanzar el ransomware que reveló su presencia. La cuenta de administrador pirateada que permitió esto pertenecía a un empleado que, lamentablemente, murió unos tres meses antes y la empresa mantuvo la cuenta activa porque se utilizaba para varios servicios.

En el segundo ataque, los empleados de Sophos descubrieron que los ciberdelincuentes crearon una nueva cuenta de usuario y la agregaron al grupo de administración de dominio del objetivo en Active Directory. Con esta nueva cuenta, pudieron eliminar aproximadamente 150 servidores virtuales y cifrar las copias de seguridad con Microsoft Bitlocker, todo sin activar alertas.

“Si no fuera por el ransomware que indica la presencia de atacantes, ¿cuánto tiempo tendrían acceso de administrador de dominio a la red sin que la empresa lo supiera”, pregunta Peter Mackenzie, gerente de Sophos Rapid Response. “Hacer un seguimiento de las credenciales de la cuenta es básico, pero es esencial para la higiene de la ciberseguridad. Vemos muchos incidentes en los que se crearon cuentas, a menudo con derechos de acceso considerables, que luego se olvidan durante años. Estas cuentas “fantasmas” son el principal objetivo de los invasores ”, agrega.

Según él, la organización que realmente necesita una cuenta después de que alguien deja la empresa debe implementar una cuenta de servicio y negar los inicios de sesión interactivos para evitar cualquier actividad no deseada. O, si no necesita la cuenta para nada más, es importante deshabilitarla y realizar auditorías regulares de Active Directory.

“El peligro no es solo mantener activas las cuentas desactualizadas y no supervisadas; también está dando a los empleados más derechos de acceso de los que necesitan. No se debe utilizar una cuenta privilegiada de forma predeterminada para trabajos que no requieren este nivel de acceso. Los usuarios deben cambiar al uso de cuentas cuando sea necesario y solo para esa tarea. Además, se deben configurar alertas para que si se usa la cuenta del administrador del dominio o se crea una nueva, alguien lo sepa ”, concluye Mackenzie.

El ransomware Nefilim se informó por primera vez en marzo de 2020. Siguiendo el mismo patrón que otras familias de ransomware, como Dharma, Nefilim se dirige principalmente a sistemas de protocolo de escritorio remoto (RPD) vulnerables, así como al software Citrix expuesto. Él es parte de un número creciente de familias de ransomware, junto con DoppelPaymer y otros que participan en la llamada “extorsión secundaria”, con ataques que combinan el cifrado con el robo de datos y amenazas de exposición pública.

Los investigadores de ciberseguridad han advertido sobre el aumento de la actividad del nuevo ransomware Nefilim, también conocido como Nemty, que opera ataques de doble extorsión al combinar el robo de datos con cifrado y requisitos de pago de rescate y amenazas de fuga de datos.

En un artículo publicado la semana pasada en su sitio web, la empresa de ciberseguridad Sophos detalla cómo la falta de seguimiento de las credenciales de la cuenta “fantasma” facilitó dos ataques cibernéticos recientes, uno de los cuales involucró a Nefilim. El ransomware afectó a más de 100 sistemas.

Los equipos de respuesta rápida de Sophos rastrearon la piratería inicial en una cuenta de administrador de alto nivel que los ciberdelincuentes habían comprometido más de cuatro semanas antes de lanzar el ransomware.

Durante ese tiempo, los atacantes pudieron moverse silenciosamente por la red, robar credenciales de una cuenta de administrador de dominio, encontrar y extraer cientos de gigabytes de datos, antes de lanzar el ransomware que reveló su presencia. La cuenta de administrador pirateada que permitió esto pertenecía a un empleado que, lamentablemente, murió unos tres meses antes y la empresa mantuvo la cuenta activa porque se utilizaba para varios servicios.

En el segundo ataque, los empleados de Sophos descubrieron que los ciberdelincuentes crearon una nueva cuenta de usuario y la agregaron al grupo de administración de dominio del objetivo en Active Directory. Con esta nueva cuenta, pudieron eliminar aproximadamente 150 servidores virtuales y cifrar las copias de seguridad con Microsoft Bitlocker, todo sin activar alertas.

“Si no fuera por el ransomware que indica la presencia de atacantes, ¿cuánto tiempo tendrían acceso de administrador de dominio a la red sin que la empresa lo supiera”, pregunta Peter Mackenzie, gerente de Sophos Rapid Response. “Hacer un seguimiento de las credenciales de la cuenta es básico, pero es esencial para la higiene de la ciberseguridad. Vemos muchos incidentes en los que se crearon cuentas, a menudo con derechos de acceso considerables, que luego se olvidan durante años. Estas cuentas “fantasmas” son el principal objetivo de los invasores ”, agrega.

Según él, la organización que realmente necesita una cuenta después de que alguien deja la empresa debe implementar una cuenta de servicio y negar los inicios de sesión interactivos para evitar cualquier actividad no deseada. O, si no necesita la cuenta para nada más, es importante deshabilitarla y realizar auditorías regulares de Active Directory.

“El peligro no es solo mantener activas las cuentas desactualizadas y no supervisadas; también está dando a los empleados más derechos de acceso de los que necesitan. No se debe utilizar una cuenta privilegiada de forma predeterminada para trabajos que no requieren este nivel de acceso. Los usuarios deben cambiar al uso de cuentas cuando sea necesario y solo para esa tarea. Además, se deben configurar alertas para que si se usa la cuenta del administrador del dominio o se crea una nueva, alguien lo sepa ”, concluye Mackenzie.

El ransomware Nefilim se informó por primera vez en marzo de 2020. Siguiendo el mismo patrón que otras familias de ransomware, como Dharma, Nefilim se dirige principalmente a sistemas de protocolo de escritorio remoto (RPD) vulnerables, así como al software Citrix expuesto. Él es parte de un número creciente de familias de ransomware, junto con DoppelPaymer y otros que participan en la llamada “extorsión secundaria”, con ataques que combinan el cifrado con el robo de datos y amenazas de exposición pública.