Erkennung von Magniber Ransomware: Bedrohungsakteure verbreiten JavaScript-Dateien, die Windows-Nutzer ins Visier nehmen
Inhaltsverzeichnis:
Im Laufe der Jahre 2021-2022, bleibt Ransomware eines der dominanten Themen in der Cyber-Bedrohungslandschaft, was durch die zunehmende Raffinesse der Einbrüche und die schnell wachsende Zahl von Ransomware-Affiliates veranschaulicht wird. Cybersicherheitsforscher warnen vor den laufenden bösartigen Kampagnen, die Windows-Benutzer ins Visier nehmen und Magniber-Ransomware als Software-Updates tarnen.
Erkennung von Magniber-Ransomware
Magniber-Ransomware-Angriffe gegen Windows-Benutzer können erhebliche Risiken darstellen, da sie Techniken von Gegnern verwenden, um die Erkennung zu umgehen, Verschleierung anzuwenden und fortschrittliche Angriffstechniken zu nutzen, die potenzielle Opfer dazu verleiten können, eine Infektionskette auszulösen. Um Cybersicherheitsexperten zu helfen, die bösartige Präsenz in ihrer Umgebung rechtzeitig zu identifizieren, kuratiert die Plattform von SOC Prime eine neue Sigma-Regel zur Erkennung von Magniber-Ransomware. Der von unserem aufmerksamen Threat Bounty Program-Entwickler entworfene Erkennungsalgorithmus Aykut Gurses erkennt Aktivitäten von JavaScript-Dateien, die durch Magniber-Ransomware eine Infektion initiieren. Folgen Sie dem untenstehenden Link, um sofort in diese Sigma-Regel und alle relevanten Kontexte, einschließlich MITRE ATT&CK® Referenzen, Medienlinks, Bedrohungsinformationen und ausführbare Binärdateien, einzutauchen:
Diese Sigma-basierte Bedrohungssuchanfrage kann über 23 SIEM-, EDR- und XDR-Lösungen hinweg genutzt werden und ist an das MITRE ATT&CK Framework getestet, das die Taktik „Impact“ mit den entsprechenden Techniken „Data Encrypted for Impact (T1486)“ und „Inhibit System Recovery (T1490)“ adressiert.
Bedrohungsjäger und Erkennungsingenieure, die ihre Sigma- & ATT&CK-Fähigkeiten verfeinern und monetarisieren wollen, können sich der Menge an Crowdsourced-Entwicklern anschließen und an unserem Threat Bounty Programteilnehmen. Reichen Sie eigene Erkennungen ein, bauen Sie Ihr Profil mit harten Fähigkeiten auf und teilen Sie Ihr Fachwissen mit Branchenkollegen.
Um proaktiv gegen alle bestehenden und aufkommenden Magniber-Ransomware-Angriffe zu verteidigen, klicken Sie auf den Explore Detections -Button und erhalten Sie sofort Zugriff auf die gesamte Sammlung von kontextreichen Sigma-Regeln und deren Übersetzungen. Ohne Bedingungen – der Zugang zu Erkennungen und ihrem Cyber-Bedrohungs-Kontext ist ohne Registrierung möglich.
Analyse der Magniber-Ransomware: Aktuelle Angriffe verbreiten Infektionen über JavaScript-Dateien
Eine neue Welle von Magniber-Ransomware-Angriffen sorgt für Aufsehen in der Cyber-Bedrohungsarena. Operators von Magniber-Ransomware verbreiten bösartige Muster über JavaScript-Dateien, die als Sicherheitsupdates getarnt sind und Windows 10- und 11-Versionen betreffen. Laut dem neuesten Bericht von den HP Threat Research -Experten fordern Angreifer von kompromittierten Benutzern ein Lösegeld von bis zu 2.500 USD, um ihre infizierten Daten zu entschlüsseln und wiederherzustellen. In früheren gegnerischen Kampagnen wurde die Magniber-Ransomware bemerkenswerterweise über MSI- und EXE-Dateien ausgeliefert, wechselt nun jedoch zu JavaScript-Techniken, die typisch für die jüngsten Angriffe sind.
Die Infektionskette von Magniber bei den aktuellen Angriffen beginnt mit dem Herunterladen bösartiger ZIP-Archive, die JavaScript enthalten und als gefälschte Anti-Virus- oder Windows 10-Software-Updates getarnt sind. Nach dem Extrahieren der ZIP-Datei und dem Herunterladen von JavaScript werden die anfälligen Geräte mit dateiverschlüsselnden Ransomware-Stämmen infiziert. Die von den Magniber-Ransomware-Betreibern genutzten bösartigen JavaScript-Dateien sind verschleiert und wenden ausgeklügelte Methoden zur Umgehung der Erkennung an, wie zum Beispiel die vergleichbare Technik „DotNetToJScript“, indem eine .NET-Datei im Systemspeicher ausgeführt wird und versucht, der Erkennung durch Antivirensoftware zu entgehen. Die .NET-Datei dekodiert Shellcode, der Schattenkopien von kompromittierten Systemen entfernt und Backup- und Datenwiederherstellungsfunktionen über entsprechende Windows-Dienstprogramme deaktiviert, wodurch Bedrohungsakteure ihre Chancen auf Lösegeldzahlungen erhöhen. Um Schattenkopien zu löschen und Windows-Wiederherstellungseinstellungen zu blockieren, verwendet Magniber die Windows UAC (User Account Control)-Funktion, die es Angreifern ermöglicht, Operationen mit erhöhten Berechtigungen auszuführen. In den letzten Phasen des Angriffslebenszyklus verschlüsselt die Magniber-Ransomware Dateien und hinterlässt Lösegeldforderungen an die kompromittierten Benutzer mit den Details zur Dateiwiederherstellung nach der Zahlung.
Als Maßnahmen zur Minderung von Magniber-Ransomware empfehlen Cyberverteidiger, Administratorkonten für Heimanwender nur im äußersten Notfall zu verwenden, Software und Updates nur von legitimen und vertrauenswürdigen Webressourcen herunterzuladen und regelmäßig Benutzerdaten zu sichern, um einen angemessenen Schutz des Systems und der Datensicherheit zu gewährleisten.
Sofortiger Zugriff auf über 650 einzigartige Sigma-Regeln zur Erkennung von Ransomware ist nur wenige Klicks entfernt! Erhalten Sie über 30 Regeln kostenlos oder greifen Sie mit On-Demand auf alle Erkennungen zu unter http://my.socprime.com/pricing. Erfahren Sie mehr darüber, wie Sie 95 % schneller als Ihre Kollegen erkennen und mit On Demand sofortigen Wert erzielen hier.
