Los actores de ransomware han sido una amenaza persistente durante años (y, sin duda, han evolucionado sus prácticas). La buena noticia es que la adopción de tecnologías avanzadas en ciberseguridad y la mejora en los procesos de respuesta contra ellos, han limitado el éxito de los ataques tradicionales. Sin embargo, gracias a la seguridad mejorada, los ciberdelincuentes se han visto obligados a desarrollar mejores estrategias y han encontrado un nuevo camino llamado “ataques de ransomware modernos”.

Los actores modernos de ransomware identifican y se dirigen a la información valiosa del usuario, donde en lugar de cifrar sus datos, los sustraen de la red corporativa a la que la víctima está conectada. Esto les da otra vía para una extorsión, amenazando con publicar los datos privados que han sido robados.

Para las empresas que tienen datos de propiedad intelectual, información patentada o de empleados y de clientes, esta es una preocupación seria. Cualquier fuga conlleva a sanciones reglamentarias, demandas y daños a la reputación de la empresa.

Otra característica importante es que los actores son más precisos y están más involucrados en el ataque. Dentro de las consecuencias está que se apoderan de las redes en múltiples etapas, las cuales son supervisadas por humanos, alejándose de las actividades automáticas, como, por ejemplo, hacer clic en un enlace. También dedican un tiempo considerable a investigar las diferentes partes de la red de la víctima (un proceso que puede tardar semanas o meses) antes de ejecutar la carga útil del ransomware, lo que hace que dichos ataques se parezcan más a un APT (ataques de amenaza persistente avanzada), que a un incidente tradicional.

El desglose de las herramientas, tácticas y procesos de Nefilim, son un claro ejemplo en el que se revelan características importantes con respecto al modus operandi de dicho incidente:

1. El acceso de Nefilim a la red, a menudo implica el uso de credenciales dé- biles en servicios expuestos o externos y en algunos casos, en vulnerabilidades críticas.

2. Una vez dentro del entorno de la víctima, los atacantes encuentran sistemas importantes en la red que les permite obtener datos confidenciales para robar y cifrar. También utilizan sistemas importantes como puntos de partida para seguir encontrando datos más críticos.

3. Los atacantes instalan un sistema de llamada a domicilio utilizando el software Cobalt Strike.

4. En el momento que los atacantes encuentran datos interesantes para robar, proceden a filtrarlos. La información extraída se puede publicar en sitios web ocultos detrás de los servicios Tor y las redes fast flux.

5. Cuando el atacante está listo, lanza la carga útil del ransomware de manera manual para cifrar los datos con el fin de solicitar un rescate.

6. Los actores de Nefilim apuntan a empresas multimillonarias de alto perfil ubicadas en todo el mundo.


Se puede ver que los afiliados de ransomware modernos pueden encontrar diferentes formas de ingresar a las grandes empresas a través de agentes de acceso, logrando extraer un montón de datos valiosos y luego tratar de extorsionar a las víctimas de diversas formas. Operaciones como estas están impulsadas por programas avanzados de afiliados, que brindan a los actores de este ataque un arsenal considerable: software personalizable, tecnologías nuevas y fácilmente disponibles para una mejor selección de víctimas y mejores vías de colaboración.

Aunque existen desafíos y complejidades para proteger a las organizaciones de este tipo de amenazas, los eventos recientes muestran que incluso las familias de malware más avanzadas pueden ser derribadas, puesto que la ciberseguridad también evoluciona de manera constante y siempre encuentra nuevas formas de defenderse a través de las herramientas y soluciones indicadas.