Smaug Ransomware-Detektor (Sysmon-Verhalten)

Heute möchten wir Ihre Aufmerksamkeit auf eine relativ neue Bedrohung und deren Erkennung richten. Smaug Ransomware-as-a-Service erschien Ende April 2020 auf den Radar von Forschern. Angreifer suchen exklusiv auf russischsprachigen Dark-Web-Foren nach Partnern und bieten die Nutzung ihrer Plattform gegen eine relativ hohe Anfangszahlung und 20% des weiteren Gewinns an. Um erfahrene Hacker anzulocken, haben Malware-Autoren in einigen Foren vorgeschlagen, keine Anzahlung zu verlangen, wenn Cyberkriminelle ihre bisherigen Erfolge nachweisen können.

Wie Sie vielleicht vermuten, hat das Projekt überlebt und seine Anhänger gefunden, trotz der Einfachheit der Malware und der Notwendigkeit, sich auf der Nutzerseite um zusätzliche Mittel zur Verschleierung des bösartigen Codes zu kümmern. Partner, die Smaug-Ransomware verwenden, haben Zugriff auf ein Dashboard, in dem sie ihre Kampagnen verfolgen und Nutzlasten erstellen können, um sowohl Organisationen als auch Einzelpersonen anzugreifen. Smaug ist in Golang geschrieben, und Forscher entdeckten Proben, die sowohl auf Windows- als auch auf Linux-Systeme abzielen und den öffentlichen RSA-Schlüssel während des Verschlüsselungsprozesses verwenden. Es kann vollständig offline ohne Netzwerkverbindung ausgeführt werden, und seine Autoren ermutigen zu Insiderangriffen auf Systeme, die ansonsten nicht so anfällig für Ransomware-Angriffe wären.

Der Teilnehmer am Threat Bounty Programm, Lee Archinal hat eine exklusive Bedrohungsjagdregel veröffentlicht, die die Merkmale von Smaug-Ransomware erkennt: https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Auswirkung

Techniken: Daten zur Beeinflussung verschlüsselt (T1486)

Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Programm bei um Ihre eigenen Inhalte zu erstellen und sie mit der TDM-Community zu teilen.