Erkennung von LockBit Ransomware: Cyberkriminelle Gruppe Evil Corp und ihre Partner, auch bekannt als UNC2165, versuchen US-Sanktionen zu umgehen
Inhaltsverzeichnis:
Im Dezember 2019 hat das Office of Foreign Assets Control (OFAC) des U.S. Finanzministeriums die mit Russland verbundene Cyberkriminalitätsgruppe sanktioniert, die als Evil Corp (aka Dridex, INDRIK SPIDER) verfolgt wird und hinter der Bereitstellung und Verbreitung der berüchtigten Dridex-Malware stand, die seit fast einem Jahrzehnt Banken und Finanzinstitute ins Visier nimmt. In einem Versuch, die Sanktionen zu umgehen, suchten die Bedrohungsakteure nach Möglichkeiten, zu anspruchsvolleren Ransomware-Operationen überzugehen, indem sie neue Malware-Samples entwickelten und anwendeten, darunter WastedLocker and Hades-Ransomware, die letztere mit einer Reihe von Code-Verschleierungserweiterungen angereichert.
Laut den neuesten Forschungen von Mandiant, wurde eine finanziell motivierte Bedrohungsgruppe namens UNC2165, die zuvor die Hades-Malware lieferte und auch mit LockBit-Ransomware-Einbrüchenin Verbindung gebracht wurde, auf Basis von Überschneidungen und ähnlichen gegnerischen Verhaltensmustern mit den Evil Corp-Akteuren assoziiert. Daher kann die böswillige Aktivität der UNC2165-Gruppe als ein weiterer Schritt in der Evolution der mit Evil Corp verbundenen Operationen angesehen werden.
Erkennung von Evil Corp-Aktivitäten, die mit UNC2165 in Verbindung stehen
Die Evolution von Ransomware-Angriffen stellt eine ernsthafte Bedrohung für globale Organisationen dar, daher erscheint ihre rechtzeitige Erkennung als wesentliche Überlegung beim Aufbau einer effizienten Cybersicherheitsstrategie. Um die böswillige Aktivität notorischer Evil Corp-Verbündeter zu erkennen, die ihr gegnerisches Toolkit ständig weiterentwickeln, erkunden Sie ein dediziertes Set an Sigma-Regeln von der SOC Prime’s Detection as Code-Plattform:
Alle Erkennungen sind an branchenführende SIEM-, EDR- und XDR-Lösungen angepasst, die von der SOC Prime-Plattform unterstützt werden, und sind mit dem MITRE ATT&CK®-Framework abgestimmt, um eine umfassende Sichtbarkeit auf relevante Bedrohungen zu gewährleisten.
InfoSec-Praktiker, die bestrebt sind, mit erweiterten Bedrohungserkennungs- und Jagdfähigkeiten vollständig ausgestattet zu sein, werden aufgefordert, die gesamte Sammlung von Sigma-Regeln zu erkunden, die in der SOC Prime-Plattform verfügbar sind und auf benutzerdefinierte Sicherheitsbedürfnisse zugeschnitten sind. Um die umfassende Liste von SOC-Inhalten zu erkunden, um LockBit-Ransomware zu erkennen und sofort nach relevanten Bedrohungen zu suchen, klicken Sie auf die Schaltfläche Erkennen und Jagen . Um sofort MITRE ATT&CK-Referenzen, relevante CTI und mehr Metadaten für eine eingehende Bedrohungsuntersuchung zu erkunden, durchsuchen Sie die Suchmaschine von SOC Prime für Bedrohungserkennung, -jagd und CTI, indem Sie auf die Schaltfläche Bedrohungskontext erkunden klicken.
Erkennen & Jagen Bedrohungskontext erkunden
UNC2165 setzt LockBit-Ransomware ein: Neue Angriffsvektoren
Laut der eingehenden Untersuchung von Mandiant nutzt die Hacker-Kollektive, die als UNC2165 verfolgt wird, zunehmend LockBit-Ransomware für finanzielle Gewinne. Sicherheitsexperten weisen darauf hin, dass UNC2165 erhebliche Überschneidungen mit Evil Corp-Akteuren aufweist und vermutlich die neue Inkarnation des Kollektivs ist, das erneut sein Werkzeugset verändert, um US-Sanktionen zu entgehen.
Seit der Sanktionierung im Jahr 2019 wegen Dridex-Malware-Kampagnen hat die Evil Corp-Gruppe das Toolkit mehrmals geändert, um die finanziell motivierten Operationen fortzusetzen. Zuvor hatte die Gruppe einen einzigartigen Ansatz, um in die Zielnetzwerke über die „FakeUpdates“-Infektionskette einzudringen, indem sie benutzerdefinierte Varianten von WastedLocker und Hades bereitstellte. Kürzlich wurde jedoch beobachtet, dass Evil Corp zunehmend auf LockBit-Ransomware-as-a-Service (RaaS) zurückgreift, anstatt auf exklusive Ransomware-Samples. Der Grund dafür ist, die OFAC-Sanktionen zu umgehen, indem man sich hinter anderen LockBit-RaaS-Partnern versteckt und die LockBit-Infrastruktur für anonymisierte Operationen nutzt.
Mandiant-Experten haben die neue Kill-Chain analysiert und festgestellt, dass UNC2165-Akteure an FakeUpdates für das initiale Eindringen festhalten. Insbesondere verwenden die Hacker DONUT und COLOFAKE-Loader, um Cobalt Strike Beacon bereitzustellen und sich im Netzwerk einzuführen. Weiterhin werden Mimikatz- und Kerberoasting-Angriffe für die Privilegieneskalation genutzt, während eine Reihe nativer Microsoft Windows-Dienstprogramme (whoami, nltest, cmdkey, and net) für die interne Aufklärung verwendet werden. Nachdem die sensiblen Daten in der Umgebung von den Hackern abgerufen und exfiltriert wurden, lässt UNC2165 LockBit-Payloads fallen, um gezielte Assets zu verschlüsseln.
Steigern Sie die Bedrohungserkennungskapazitäten und beschleunigen Sie die Bedrohungsjagd, indem Sie auf das umfassendste SOC-Team-Toolkit zugreifen, das über die SOC Prime’s Detection as Code-Plattformverfügbar ist! Treten Sie jetzt kostenlos bei und erhalten Sie sofortigen Zugang zur größten Bibliothek mit Erkennungsinhalten sowie zu fortschrittlichen Tools, um die Effektivität Ihrer Cybersicherheitsoperationen zu erhöhen.
