SolidBit Ransomware-Erkennung: Neuartige Variante zielt auf Nutzer beliebter Videospiele und Social-Media-Plattformen ab
Inhaltsverzeichnis:
Ransomware-Angriffe sind zu einem stetig wachsenden Trend in der Cyber-Bedrohungslandschaft seit 2020 geworden, der im Jahr 2021-2022 weiter ansteigt. Sicherheitsforscher haben kürzlich eine neue SolidBit-Ransomware-Variante entdeckt, die auf Gamer und Social Media-Nutzer abzielt. Die neuartige Malware wird in der freien Wildbahn gesichtet, indem sie auf GitHub hochgeladen und als beliebte Anwendungen getarnt wird, um potenzielle Opfer dazu zu verleiten, sie auszuführen. Einmal gestartet, führen die Lockdateien bösartigen PowerShell-Code aus, der Ransomware auf den Zielgeräten bereitstellt.
Neue SolidBit-Ransomware-Variante entdecken
Mit steigenden Mengen an ausgeklügelten Ransomware-Angriffen und einem expandierenden Umfang von Ransomware-as-a-Service (RaaS)-Aktivitäten suchen Cyber-Verteidiger nach innovativen Wegen, um ihre Cybersicherheitslage zu stärken. Die Detection-as-Code-Plattform von SOC Prime hat kürzlich eine Reihe sorgfältig sortierter Sigma-Regeln to detect the SolidBit ransomware crafted by our keen Threat Bounty Program developers, Furkan Celik and Osman Demir. Registrierte SOC Prime-Nutzer können über den unten stehenden Link auf die speziellen Threat-Hunting-Abfragen zugreifen:
Sigma-Regeln zur Erkennung der SolidBit-Ransomware
Beide Erkennungen sind kompatibel mit den führenden SIEM-, EDR- und XDR-Lösungen, die von der SOC Prime-Plattform unterstützt werden, und sind mit dem MITRE ATT&CK-Framework ausgerichtet, das die Impact-Taktik mit der entsprechenden Data Encrypted for Impact (T1486)-Technik adressiert. Darüber hinaus deckt die spezielle Sigma-Regel von Furkan Celik auch die Execution ATT&CK-Taktik ab, die durch die User Execution (T1204)-Technik repräsentiert wird.
Erfahrene Cybersecurity-Fachleute, die ihre Fähigkeiten in den Bereichen Detection Engineering und Threat Hunting Expertise erweitern möchten, können sich unserem Threat Bounty Program anschließen, um einen eigenen Beitrag zum kollektiven Branchenwissen zu leisten. Die Teilnahme am Programm ermöglicht es Autoren von Erkennungsinhalten, ihre beruflichen Fähigkeiten zu monetarisieren und gleichzeitig dazu beizutragen, eine sicherere digitale Zukunft zu schaffen.
Um über schnell wachsende Ransomware-Angriffe auf dem Laufenden zu bleiben, können Sicherheitsteams die gesamte Sammlung relevanter Sigma-Regeln auf der SOC Prime-Plattform nutzen, indem sie auf die Detect & Hunt -Schaltfläche unten klicken. Für eine optimierte Bedrohungsermittlung können nicht registrierte SOC Prime-Nutzer auch von unserer Suchmaschine für Cyber-Bedrohungen profitieren und die umfassenden Kontextinformationen zu Ransomware, einschließlich MITRE ATT&CK- und CTI-Referenzen und weiteren relevanten Metadaten, erkunden, indem sie unten auf die Explore Threat Context -Schaltfläche klicken.
Detect & Hunt Explore Threat Context
SolidBit-Beschreibung
SolidBit-Ransomware, ein relativ neuer Akteur in der Cyber-Bedrohungslandschaft, ist ein Abkömmling der berüchtigten Yashma/Chaos-Ransomware. Sicherheitsforscher glauben, dass SolidBit-Betreiber eng mit den Yashma-Entwicklern zusammenarbeiten, um einige Funktionen des Chaos-Builders zu verbessern und dann auf dem Untergrundmarkt zu gehen, indem sie es als SolidBit vermarkten.
Die jüngste Modifikation, die als SolidBit-Variante 3.0 beworben wird, wird mit .NET kompiliert und nutzt laut der Untersuchung von Trend Microeine ungewöhnliche Angriffskette, um massive Infektionen zu erreichen. Bemerkenswerterweise haben SolidBit-Ransomware-Betreiber die bösartige Nutzlast auf GitHub hochgeladen und die Bedrohung innerhalb von Gaming-Tools und Social-Media-Bots getarnt.
Die letzte Kampagne verbreitet ein gefälschtes League of Legends-Kontoüberprüfungswerkzeug und einen Instagram-Follower-Bot. Falls ein Opfer die App von GitHub herunterlädt und ausführt, führt die bösartige Anwendung schnell einen PowerShell-Code aus, der letztendlich die SolidBit-Nutzlast ablegt. Vor der Verschlüsselung wendet die Ransomware eine Reihe von Debugging- und Verschleierungstricks an, beendet Dienste und löscht Schattenkopien, um unter dem Radar zu bleiben.
Abgesehen von den Verbesserungen der Hauptfunktionalität streben die SolidBit-Betreiber an, ihr bösartiges Netzwerk durch Anwendung des RaaS-Modells zu erweitern. Auffallend, am 30. Juni 2022, bemerkten Sicherheitsforscher Stellenanzeigen in Untergrundforen, um neue SolidBit RaaS-Partner zu gewinnen.
Die neuen Taktiken weisen auf die zunehmende Komplexität des SolidBit-Stamms hin, was ein allgemeiner Trend im Ransomware-Bereich ist. Da die Angriffe in Umfang und Maßstab zunehmen, benötigen Sicherheitsforscher innovative Tools, um neu auftretende Bedrohungen zu erkennen und den Angreifern einen Schritt voraus zu sein. Treten Sie der Detection-as-Code-Plattform von SOC Prime bei, um die neuesten Angriffe mit der weltweit größten Sammlung von Sigma-Regeln zu erkennen, die Logquelle und MITRE ATT&CK-Abdeckung zu verbessern und aktiv zur Steigerung der Cybersicherheitsfähigkeiten Ihrer Organisation beizutragen. Erfahrene Threat Hunter und Detection Engineers sind herzlich eingeladen, sich dem Threat Bounty Program – SOC Primes Crowdsourcing-Initiative anzuschließen, um ihre Erkennungsalgorithmen mit der Cybersicherheitsgemeinschaft zu teilen, zur kollaborativen Cybersicherheit beizutragen und wiederholte Auszahlungen für ihren Beitrag zu erhalten.
