Regel der Woche: VHD Ransomware-Erkennung

Wir glauben, dass wir heute verdientermaßen den Titel Regel der Woche an die exklusive Sigma-Regel vergeben, die von Osman Demir entwickelt wurde, um VHD-Ransomware zu erkennen: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 

Die ersten Angriffe mit diesem Ransomware-Strang begannen im März 2020, und erst kürzlich haben Forscher sie mit der Lazarus APT in Verbindung gebracht. Dies wurde erleichtert durch die Erkennung der Verwendung des MATA-Cross-Plattform-Frameworks bei einigen Angriffen, das ausschließlich von diesem berüchtigten nordkoreanischen Bedrohungsakteur verwendet wird; die Regeln zur Erkennung des Frameworks wurden früher diese Woche veröffentlicht.

In einigen Angriffen nutzten die Angreifer ein Verbreitungsprogramm, das die Ransomware im Netzwerk verbreitete. Das Programm wird nach detaillierter Aufklärung und Sammlung administrativer Anmeldeinformationen und IP-Adressen erstellt, die genutzt werden, um den SMB-Dienst auf jedem entdeckten Gerät bruteforcen zu können.

Die Lazarus-Gruppe ist wahrscheinlich der einzige staatlich gesponserte Bedrohungsakteur, der sich mit finanzmotivierter Cyberkriminalität befasst. In den jüngsten Angriffen nutzte die Gruppe ein verwundbares VPN-Gateway aus, erlangte administrative Privilegien, setzte eine Hintertür auf dem kompromittierten System ein und konnte den Active Directory Server übernehmen. Interessanterweise wurde vor Beginn der VHD-Ransomware-Angriffe beobachtet, dass Lazarus APT TrickBot-Malware verwendete, um Zugriff auf die Netzwerke der Opfer zu erhalten.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Beeinflussung

Techniken: Datenverschlüsselung zur Beeinflussung (T1486)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei , um Ihre eigenen Inhalte zu erstellen und mit der TDM-Community zu teilen.