Gli esperti di sicurezza del CERT-AgID hanno analizzato il ransomware Nefilim che, al pari di Maze e NetWalker, è stato definito come ransomware con capacità di esfiltrazione di dati e risulta essere coinvolto in un recente e importante data leak contro una azienda italiana.
Noto anche come Nephilim, è stato osservato a inizio del 2020 e, secondo anche altri ricercatori, sono state rilevate somiglianze con il codice di un altro ransomware denominato Nemty 2.5. A differenza di quest’ultimo però non presenta la componente RaaS e non risulta ancora del tutto chiaro come venga veicolato. Si presuppone che venga inoculato sfruttando vulnerabilità remote o servizi RDP pubblicamente esposti.
Quindi si presume che il ransomware venga installato in uno stadio successivo alla compromissione e all’esfiltrazione dei dati presenti sulla macchina.
“A differenza di altri ransomware, l’analisi di Nefilim non è complessa e, anzi, sembra quasi si tratti di un template, scopiazzato da altri ransomware, da cui iniziare uno sviluppo software più complesso.
Riguardo la chiave privata, che resta nelle mani dei criminali, si prospettano due situazioni:
- È sempre la stessa e quindi unica per tutte le campagne;
- La chiave privata cambia ad ogni campagna.
Nel primo caso basterebbe entrare in possesso dell’unica chiave che consentirebbe di liberare tutti i file cifrati nel corso delle campagne. Ulteriori analisi eseguite su sample Nefilim differenti hanno fatto emergere, come ci si aspettava, che la chiave cambia per in ogni campagna.
In definitiva Nefilim utilizza due meccanismi di cifratura: una per la nota di riscatto e l’altra, come abbiamo visto, per cifrare i file sul disco.
Nefilim quindi è focalizzato esclusivamente sul processo di cifratura dei file e non importa funzioni che possano consentire l’esfiltrazione dei dati dalla macchina compromessa.”
L’analisi integrale è consultabile al seguente link https://cert-agid.gov.it/news/il-ransomware-nefilim/