Regel der Woche: VHD Ransomware-Erkennung

Neueste Bedrohungen

Juli 31, 2020

2 min zu lesen

Regel der Woche: VHD Ransomware-Erkennung

Eugene Tkachenko
Eugene Tkachenko Leiter des Community-Programms linkedin icon Folgen

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnieren Sie den wöchentlichen Digest

Exklusiv für SOC Prime-Nutzer

Newsletter Icon

Wir glauben, dass wir heute verdientermaßen den Titel Regel der Woche an die exklusive Sigma-Regel vergeben, die von Osman Demir entwickelt wurde, um VHD-Ransomware zu erkennen: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 

Die ersten Angriffe mit diesem Ransomware-Strang begannen im März 2020, und erst kürzlich haben Forscher sie mit der Lazarus APT in Verbindung gebracht. Dies wurde erleichtert durch die Erkennung der Verwendung des MATA-Cross-Plattform-Frameworks bei einigen Angriffen, das ausschließlich von diesem berüchtigten nordkoreanischen Bedrohungsakteur verwendet wird; die Regeln zur Erkennung des Frameworks wurden früher diese Woche veröffentlicht.

In einigen Angriffen nutzten die Angreifer ein Verbreitungsprogramm, das die Ransomware im Netzwerk verbreitete. Das Programm wird nach detaillierter Aufklärung und Sammlung administrativer Anmeldeinformationen und IP-Adressen erstellt, die genutzt werden, um den SMB-Dienst auf jedem entdeckten Gerät bruteforcen zu können.

Die Lazarus-Gruppe ist wahrscheinlich der einzige staatlich gesponserte Bedrohungsakteur, der sich mit finanzmotivierter Cyberkriminalität befasst. In den jüngsten Angriffen nutzte die Gruppe ein verwundbares VPN-Gateway aus, erlangte administrative Privilegien, setzte eine Hintertür auf dem kompromittierten System ein und konnte den Active Directory Server übernehmen. Interessanterweise wurde vor Beginn der VHD-Ransomware-Angriffe beobachtet, dass Lazarus APT TrickBot-Malware verwendete, um Zugriff auf die Netzwerke der Opfer zu erhalten.

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

 

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Beeinflussung

Techniken: Datenverschlüsselung zur Beeinflussung (T1486)


Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei , um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.
Kostenlos beitreten Ein Treffen buchen

More Neueste Bedrohungen Articles

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Zahorulko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Zahorulko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Zahorulko