Folgen 
Die neue WastedLocker-Ransomware wurde erstmals im Mai 2020 entdeckt. Sie wurde von der hochkarätigen Evil Corp-Gruppe entwickelt, die zuvor den Dridex Trojaner einsetzte, um BitPaymer Ransomware in Angriffen auf Regierungsorganisationen und Unternehmen in den Vereinigten Staaten und Europa zu verbreiten.
Im vergangenen Jahr verließ ein Teil der Angreifer die Gruppe und startete eigene Angriffe mit DoppelPaymer Ransomware, die auf dem Code von BitPaymer basiert. Nach einer kurzen Pause setzten die Hacker von Evil Corp ihre Angriffe fort und begannen mit der Vorbereitung einer groß angelegten Operation unter Verwendung der neuen Ransomware-Familie.
WastedLocker und BitPaymer haben wenig gemeinsam. Der erste Kompromiss erfolgt über das SocGholish-Framework für gefälschte Updates, das jetzt direkt zur Verteilung eines benutzerdefinierten CobaltStrike-Loaders verwendet wird. Dann ermittelt das Framework, ob das infizierte System Teil des Netzwerks der Organisation ist, sammelt zusätzliche Informationen über das System und übermittelt diese an die Angreifer. Nach dem Eindringen in das Netzwerk nutzt der Bedrohungsakteur verschiedene Toolsets wie Cobalt Strike, Mimikatz, Empire und PowerSploit, um das seitliche Bewegen in den Umgebungen der Zielorganisation zu erleichtern. Außerdem verwendet Evil Corp die native Betriebssystems-Funktionalität (LoLBins), um Erkennung zu vermeiden und unauffällig zu operieren, bis die Verschlüsselung beginnt.
Neue Regeln von Teilnehmern des Threat Bounty-Programms helfen, die bösartige Aktivität von Evil Corp und die Bereitstellung der WastedLocker-Ransomware zu erkennen:
WastedLocker Ransomware Hunting (Credential Dumping) by Ariel Millahuel: https://tdm.socprime.com/tdm/info/ohVpL4U6RLYd/Db4eLnMBPeJ4_8xcypLC/?p=1
WastedLocker Ransomware Hunting (Initial Access and Compromise) von Ariel Millahuel: https://tdm.socprime.com/tdm/info/cexuKikgrGxH/-ZccLnMBQAH5UgbB-SXj/?p=1
WastedLocker Ransomware Hunting (Defense Evasion) von Ariel Millahuel:
https://tdm.socprime.com/tdm/info/kNavqYGJrev8/yppbM3MBQAH5UgbBHWAp/?p=1
WastedLocker Ransomware Hunting (Discovery) von Ariel Millahuel:
https://tdm.socprime.com/tdm/info/NuV0JT0Mu2xi/AZdZM3MBSh4W_EKG6zKf/?p=1
Wastedlocker, eine neue Ransomware-Variante entwickelt von der Evil Corp-Gruppe by Osman Demir: https://tdm.socprime.com/tdm/info/PYGGqXXI8HiF/GIRtFHMBSh4W_EKG3ChF/?p=1
Die Regeln haben Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness
EDR: Windows Defender ATP, Carbon Black, CrowdStrike, Elastic Endpoint
MITRE ATT&CK:
Taktiken: Initial Access, Execution, Impact
Techniken: PowerShell (T1086), Service Execution (T1035), Drive-by Compromise (T1089), Data Encrypted for Impact (T1486)
