Regel der Woche: Nefilim/Nephilim Ransomware-Erkennung

Diese Woche möchten wir die Community Sigma-Regel von Emir Erdogan hervorheben, die hilft, Nefilim/Nephilim-Ransomware zu erkennen in destruktiven Angriffen eingesetzt. Diese Ransomware-Familie wurde vor zwei Monaten erstmals entdeckt und ihr Code basiert auf der NEMTY-Ransomware, die letzten Sommer als öffentliches Affiliate-Programm aufkam. Es sieht so aus, als ob NEMTY in zwei separate Projekte geforkt wurde, da seine RaaS-Operationen privat wurden oder die Gegner den Quellcode an eine andere Gruppe verkauft haben. Nephilim-Ransomware wurde in mehreren schädlichen Kampagnen eingesetzt, die damit drohen, gestohlene Daten der Opfer zu veröffentlichen , wenn das Opfer sich entschließt, kein Lösegeld zu zahlen. Angreifer kompromittieren RDP-Dienste, stellen Persistenz her, sammeln zusätzliche Anmeldedaten, um sich lateral zu bewegen, und exfiltrieren Daten, bevor sie die Ransomware-Payloads auf alle verfügbaren Systeme übertragen. Die Regel von Emir Erdogan kann den Beginn des Angriffs erkennen, sodass Sie reagieren können, bevor alle Ihre Systeme verschlüsselt werden: https://tdm.socprime.com/tdm/info/lC8zLKPM5tEv/mCFyDXIBjwDfaYjKjXen/?p=1

Bedrohungserkennung wird für die folgenden Plattformen unterstützt:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, Sumo Logic

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Impact, Execution, Defense Evasion

Techniken: Datenverschlüsselung für Wirkung (1486), Sicherheitswerkzeuge deaktivieren (1089), Systemwiederherstellung verhindern (T1490)

Emir Erdogan ist aktiver Teilnehmer des SOC Prime Threat Bounty Program. TDM-Benutzer können seinen Namen in der Top-Autoren-nach-Downloads-Sektion auf den Bestenlisten sehen und alle vom Autor auf dem Threat Detection Marketplace veröffentlichten Inhalte ansehen.