Erkennungsinhalt: Scarab-Ransomware

Scarab Ransomware wurde erstmals im Juni 2017 entdeckt und tauchte seitdem mit neuen Versionen wieder auf. Diese Ransomware ist eine von vielen HiddenTear-Varianten, einem Open-Source-Ransomware-Trojaner, der 2015 veröffentlicht wurde. 

Die kürzlich entdeckten Ransomware-Versionen verwenden eine verbesserte RSA-Verschlüsselungsmethode und fügen infizierten Dateien verschiedene Erweiterungen hinzu. Die Scarab-Ransomware stört alternative Wiederherstellungsmethoden, indem sie die Windows-Wiederherstellungspunkte und die Schattenkopien löscht, die zur Wiederherstellung der betroffenen Dateien auf ihren vorherigen Zustand verwendet werden könnten. Eine Entschlüsselung ohne einen eindeutigen Schlüssel ist unmöglich. Forscher haben sie in mehreren Kampagnen beobachtet: Gegner senden Phishing-E-Mails, um die bösartige Software zu verbreiten, in mehreren Fällen, mieteten sie das Necurs-Botnetz für diesen Zweck. 

Mehrere Varianten der Ransomware tauchen weiterhin in der Bedrohungslandschaft auf. Die letzte wurde entdeckt vor zwei Wochen und fügte die .cov19-Erweiterung für verschlüsselte Dateien hinzu. Neue Community-Bedrohungssuche Sigma-Regel von Ariel Millahuel hilft, neue Proben von Scarab-Ransomware zu Beginn des Verschlüsselungsprozesses aufzudecken: https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Auswirkung

Techniken: Daten für Auswirkungen verschlüsselt (T1486)

Diese Woche hat Ariel eine weitere Community-Regel zur Ransomware-Erkennung veröffentlicht. Sie erkennt Merkmale von AKO Ransomware, das neue Ransomware-as-a-Service-Angebot, das in Entwicklung ist: https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75