Erkennung von Quantum-Ransomware-Angriffen: Malware mit Lichtgeschwindigkeit eingesetzt

[post-views]
April 28, 2022 · 3 min zu lesen
Erkennung von Quantum-Ransomware-Angriffen: Malware mit Lichtgeschwindigkeit eingesetzt

Quantum-Ransomware steht seit dem Spätsommer 2021 im Rampenlicht, da es an schnell eskalierenden und dynamischen Angriffen beteiligt war, die Cyberverteidigern nur ein kurzes Zeitfenster ließen, um Bedrohungen rechtzeitig zu erkennen und zu entschärfen. Laut der DFIR-Cybersicherheitsforschungrangiert der jüngste beobachtete Quantum-Ransomware-Angriff als einer der schnellsten Fälle, bei dem weniger als 4 Stunden vergingen, um Ransomware bereitzustellen, nachdem die Zielumgebung kompromittiert wurde.

Quantum-Ransomware erkennen: Sigma-Regeln

Um die berüchtigten Quantum-Angriffe proaktiv gegen Ihre organisatorische Umgebung aufzudecken, können Sie eine Reihe kuratierter Sigma-Regeln nutzen, die von unseren aufmerksamen Threat-Bounty-Entwicklern bereitgestellt werden Emir Erdogan and Nattatorn Chuensangarun.

Quantum-Ransomware verwendet Cobalt Strike Beacon (via pipe_event)

Verdächtiges Verhalten der Quantum-Ransomware-Erkennung (via process_creation)

Mögliche Persistenz der Quantum-Ransomware durch erstellte geplante Aufgaben (via process_creation)

Mögliche Ausführung der Quantum-Ransomware mit IcedID-Payload (via file_event)

Mögliche Quantum-Ransomware durch Übertragung von Ransomware auf Host über Domain (via process_creation)

Mögliche Quantum-Ransomware-Nutzung von PsExec und WMI zur Ausführung von Ransomware (via process_creation)

Angesichts der Tatsache, dass die neueste Quantum-Routine davon ausgeht, dass IcedID-Proben genutzt werden, um die Infektionskette auszulösen, empfehlen wir Ihnen, die Erkennungsinhalte zu überprüfen, die darauf abzielen, IcedID-bezogene Angriffe zu identifizieren. Die vollständige Liste der relevanten Sigma-Regeln kann auf der SOC Prime-Plattform über den folgenden Link

Abrufen von Sigma-Regel-Updates und Zugriff auf den umfassenden Satz von Erkennungen für Quantum-Ransomware, klicken Sie auf die Erkennungen anzeigen Schaltfläche unten. Möchten Sie der Cybersicherheits-Community helfen, gegen die fiesen Cyberangriffe zu bestehen und die Inhaltsbibliothek mit Ihren eigenen Sigma-basierten Inhalten zu bereichern? Treten Sie unserem Threat-Bounty-Programm bei und erhalten Sie wiederkehrende Belohnungen für Ihre Beiträge.

Erkennungen anzeigen Threat-Bounty beitreten

Analyse des Quantum-Ransomware-Angriffs

Der jüngste Angriff zeigt die Rekordzeit bis zum Lösegeld, die insgesamt weniger als 4 Stunden beträgt. Der Ransomware-Angriff begann mit der Bereitstellung des IceID-Payload auf der angegriffenen Instanz, die über eine Phishing-E-Mail verteilt wurde. Insbesondere verbargen die Ransomware-Operatoren das IcedID innerhalb der bösartigen ISO-Datei, um die E-Mail-Sicherheitsvorkehrungen zu umgehen und eine erfolgreiche Infektion sicherzustellen. Bereits ein paar Stunden nach der initialen Angriffsphase lösten die Angreifer die Hands-on-Keyboard-Aktivität aus und luden die Cobalt-Strike-Malware herunter, die für Remotezugriff und Informationsdiebstahl verwendet wird. Um die problemlose laterale Ausbreitung sicherzustellen, entluden Bedrohungsakteure Windows-Domain-Anmeldeinformationen mit Hilfe von LSASS und erstellten RDP-Verbindungen zu zugänglichen Servern im Netzwerk. Schließlich übertrugen die Hacker das Quantum-Payload mit WMI- und PsExec-Utilities, um die gewünschten Assets zu verschlüsseln.

Wer ist Quantum Locker?

Quantum-Ransomware (auch bekannt als Quantum Locker) ist ein Nachfolger des MountLocker RaaS, der erstmals Ende 2020 bekannt wurde. Seitdem wechselten die Betreiber häufig ihr bösartiges Produkt unter Namen wie AstroLocker oder XingLocker. Im Sommer 2021 begann die Quantum-Locker-Probe, im Internet die Runde zu machen. Laut Berichtenvariieren die Lösegeldforderungen für die Entschlüsselung erheblich und reichen von $150.000 bis zu Zahlungen von $3-4 Millionen. Zusätzlich wenden die Angreifer den Doppel-Erpressungsansatz an, um noch mehr Druck auf die Opfer von Quantum Locker auszuüben.

Um proaktive Cyberabwehrfähigkeiten zu stärken, verlassen sich fortschrittliche Organisationen auf einen kollaborativen Cyber-Abwehransatz. Treten Sie der SOC Prime Detection as Code-Plattform bei, um ständig mit dem wachsenden Angriffsvolumen Schritt zu halten und die neuesten Bedrohungen in weniger als 24 Stunden anzugehen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung 2 min zu lesen SOC Prime Plattform Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung by Steven Edwards XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko
Alle Nachrichten