Bedrohungsjagd-Inhalt: Erkennung von Avaddon Ransomware

[post-views]
Juni 18, 2020 · 2 min zu lesen
Bedrohungsjagd-Inhalt: Erkennung von Avaddon Ransomware

Ein Neuling in der Ransomware-Szene, Avaddon Ransomware, wird seit Anfang des Monats aktiv in Spam-Kampagnen verbreitet, und die Angreifer dahinter rekrutieren weiterhin Partner in Untergrundforen. Während einer der erkannten Kampagnen, versandten Cyberkriminelle über 300.000 bösartige E-Mails mit dem Phorphiex/Trik Botnet. Derzeit zielt Avaddon eher auf einzelne Nutzer als auf Organisationen ab, und die Zeit wird zeigen, wie sich diese Malware entwickeln wird. Außerdem gibt es bislang keine Fälle, in denen Angreifer Daten stehlen, bevor sie Dateien verschlüsseln, wie es die fortschrittlicheren Gruppen tun, die Maze -Ransomware, DoppelPaymer, Ragnar Lockerund einige andere verbreiten.

Cyberkriminelle versenden bösartige E-Mails, die im Textkörper der E-Mail nur ein Zwinkersmiley enthalten, und einen als JPG-Foto getarnten JavaScript-Dateianhang. Um zu verhindern, dass ein unaufmerksamer Benutzer Verdacht schöpft, verwenden die Angreifer Doppelendungen (mehr über diese Methode und wie man Versuche, sie auszunutzen, erkennt, erfahren Sie hier and hier). Der bösartige Anhang startet sowohl einen PowerShell- als auch einen Bitsadmin-Befehl, die das Avaddon-Ransomware-Programm herunterladen und ausführen. Diese Kampagne erinnert an die ‚Love Letter‘-Spam , die im Februar Nemty Ransomware verteilte, vielleicht ist es derselbe Bedrohungsakteur, der frühere Fehler korrigiert hat und Doppelendungen in bösartigen Dateien einzusetzen begann.

Von Osman Demir eingereichte Bedrohungssuche-Regel ermöglicht Sicherheitslösungen, Avaddon-Ransomware während ihrer Installation und in den ersten Schritten des Angriffs zu entdecken: https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Taktiken: Auswirkung

Techniken: Daten verschlüsselt für Auswirkung (T1486)

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt 5 min zu lesen Neueste Bedrohungen Erkennung von CVE-2025-8088: WinRAR Zero-Day wird aktiv zur Installation von RomCom-Malware ausgenutzt by Daryna Olyniychuk Erkennung der Secret Blizzard-Angriffe: russland-unterstützte APT zielt mit ApolloShadow-Malware auf ausländische Botschaften in Moskau ab 5 min zu lesen Neueste Bedrohungen Erkennung der Secret Blizzard-Angriffe: russland-unterstützte APT zielt mit ApolloShadow-Malware auf ausländische Botschaften in Moskau ab by Daryna Olyniychuk CVE-2025-8292: Use-After-Free-Schwachstelle in Google Chrome ermöglicht RCE und Systemkompromittierung 3 min zu lesen Neueste Bedrohungen CVE-2025-8292: Use-After-Free-Schwachstelle in Google Chrome ermöglicht RCE und Systemkompromittierung by Daryna Olyniychuk
Alle Nachrichten