Erkennungsinhalt: WastedLocker Ransomware

[post-views]
Juli 08, 2020 · 2 min zu lesen
Erkennungsinhalt: WastedLocker Ransomware

Die neue WastedLocker-Ransomware wurde erstmals im Mai 2020 entdeckt. Sie wurde von der hochkarätigen Evil Corp-Gruppe entwickelt, die zuvor den Dridex Trojaner einsetzte, um BitPaymer Ransomware in Angriffen auf Regierungsorganisationen und Unternehmen in den Vereinigten Staaten und Europa zu verbreiten.

Im vergangenen Jahr verließ ein Teil der Angreifer die Gruppe und startete eigene Angriffe mit DoppelPaymer Ransomware, die auf dem Code von BitPaymer basiert. Nach einer kurzen Pause setzten die Hacker von Evil Corp ihre Angriffe fort und begannen mit der Vorbereitung einer groß angelegten Operation unter Verwendung der neuen Ransomware-Familie.

WastedLocker und BitPaymer haben wenig gemeinsam. Der erste Kompromiss erfolgt über das SocGholish-Framework für gefälschte Updates, das jetzt direkt zur Verteilung eines benutzerdefinierten CobaltStrike-Loaders verwendet wird. Dann ermittelt das Framework, ob das infizierte System Teil des Netzwerks der Organisation ist, sammelt zusätzliche Informationen über das System und übermittelt diese an die Angreifer. Nach dem Eindringen in das Netzwerk nutzt der Bedrohungsakteur verschiedene Toolsets wie Cobalt Strike, Mimikatz, Empire und PowerSploit, um das seitliche Bewegen in den Umgebungen der Zielorganisation zu erleichtern. Außerdem verwendet Evil Corp die native Betriebssystems-Funktionalität (LoLBins), um Erkennung zu vermeiden und unauffällig zu operieren, bis die Verschlüsselung beginnt.

Neue Regeln von Teilnehmern des Threat Bounty-Programms helfen, die bösartige Aktivität von Evil Corp und die Bereitstellung der WastedLocker-Ransomware zu erkennen:

WastedLocker Ransomware Hunting (Credential Dumping) by Ariel Millahuel: https://tdm.socprime.com/tdm/info/ohVpL4U6RLYd/Db4eLnMBPeJ4_8xcypLC/?p=1

WastedLocker Ransomware Hunting (Initial Access and Compromise) von Ariel Millahuel: https://tdm.socprime.com/tdm/info/cexuKikgrGxH/-ZccLnMBQAH5UgbB-SXj/?p=1

WastedLocker Ransomware Hunting (Defense Evasion) von Ariel Millahuel:
https://tdm.socprime.com/tdm/info/kNavqYGJrev8/yppbM3MBQAH5UgbBHWAp/?p=1

WastedLocker Ransomware Hunting (Discovery) von Ariel Millahuel:
https://tdm.socprime.com/tdm/info/NuV0JT0Mu2xi/AZdZM3MBSh4W_EKG6zKf/?p=1

Wastedlocker, eine neue Ransomware-Variante entwickelt von der Evil Corp-Gruppe by Osman Demir: https://tdm.socprime.com/tdm/info/PYGGqXXI8HiF/GIRtFHMBSh4W_EKG3ChF/?p=1

Die Regeln haben Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Initial Access, Execution, Impact

Techniken: PowerShell (T1086), Service Execution (T1035), Drive-by Compromise (T1089), Data Encrypted for Impact (T1486)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Ausführungstaktik | TA0002
Blog, Neueste Bedrohungen — 6 min zu lesen
Ausführungstaktik | TA0002
Daryna Olyniychuk
PyVil RAT von Evilnum Group
Blog, Neueste Bedrohungen — 2 min zu lesen
PyVil RAT von Evilnum Group
Eugene Tkachenko
JSOutProx RAT
Blog, Neueste Bedrohungen — 2 min zu lesen
JSOutProx RAT
Eugene Tkachenko