Regel der Woche: Thanos Ransomware

Heute in der Sektion Regel der Woche empfehlen wir, die Regel zu beachten, die von Emir Erdoganveröffentlicht wurde. Die neue Regel hilft, Thanos-Ransomware zu erkennen, die die RIPlace-Taktik verwendet, um Anti-Ransomware-Lösungen zu umgehen: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1

Thanos-Ransomware erschien erstmals Ende letzten Jahres, und ihre Autoren bewarben sie in Untergrundforen und geschlossenen Kanälen. Sie wird als Ransomware-as-a-Service vertrieben, wodurch selbst unerfahrene Angreifer ein maßgeschneidertes Tool zur Erstellung einzigartiger Nutzlasten erhalten. Thanos-Ransomware ist komplexer als viele vorherige Builder-basierte Ransomware-Dienste. Viele der im Thanos-Builder verfügbaren Optionen sind darauf ausgelegt, Sicherheitslösungen zu umgehen. Zu den erweiterten Funktionen der Ransomware gehören außerdem mehrere Persistenzoptionen, zufällige Assembly-Daten, Anti-VM / VM-Ausweichung, die Beendigung von Windows Defender und anderen AV-Produkten sowie konfigurierbare Verbreitungsoptionen. Kürzlich fügten die Autoren der Ransomware die Verwendung von RIPlace hinzu, um der Erkennung zu entgehen. Thanos ist die erste Ransomware-Familie, die die RIPlace-Taktik verwendet. Dies ist eine Windows-Dateisystemtechnik, die verwendet werden kann, um Dateien böswillig zu verändern, sodass Ransomware der Erkennung entgehen kann.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Impact, Defense Evasion, Discovery

Techniken: Daten verschlüsselt für Impact (T1486), Deaktivierung von Sicherheitstools (T1089), Entdeckung von Sicherheitssoftware (T1063), Software Entdeckung (T1518)