Erkennungsinhalt: Scarab-Ransomware

[post-views]
Mai 28, 2020 · 2 min zu lesen
Erkennungsinhalt: Scarab-Ransomware

Scarab Ransomware wurde erstmals im Juni 2017 entdeckt und tauchte seitdem mit neuen Versionen wieder auf. Diese Ransomware ist eine von vielen HiddenTear-Varianten, einem Open-Source-Ransomware-Trojaner, der 2015 veröffentlicht wurde. 

Die kürzlich entdeckten Ransomware-Versionen verwenden eine verbesserte RSA-Verschlüsselungsmethode und fügen infizierten Dateien verschiedene Erweiterungen hinzu. Die Scarab-Ransomware stört alternative Wiederherstellungsmethoden, indem sie die Windows-Wiederherstellungspunkte und die Schattenkopien löscht, die zur Wiederherstellung der betroffenen Dateien auf ihren vorherigen Zustand verwendet werden könnten. Eine Entschlüsselung ohne einen eindeutigen Schlüssel ist unmöglich. Forscher haben sie in mehreren Kampagnen beobachtet: Gegner senden Phishing-E-Mails, um die bösartige Software zu verbreiten, in mehreren Fällen, mieteten sie das Necurs-Botnetz für diesen Zweck. 

Mehrere Varianten der Ransomware tauchen weiterhin in der Bedrohungslandschaft auf. Die letzte wurde entdeckt vor zwei Wochen und fügte die .cov19-Erweiterung für verschlüsselte Dateien hinzu. Neue Community-Bedrohungssuche Sigma-Regel von Ariel Millahuel hilft, neue Proben von Scarab-Ransomware zu Beginn des Verschlüsselungsprozesses aufzudecken: https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Auswirkung

Techniken: Daten für Auswirkungen verschlüsselt (T1486)

 

Diese Woche hat Ariel eine weitere Community-Regel zur Ransomware-Erkennung veröffentlicht. Sie erkennt Merkmale von AKO Ransomware, das neue Ransomware-as-a-Service-Angebot, das in Entwicklung ist: https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75

 

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.