YourCyanide-Erkennung: Neue selbstverbreitende Ransomware-Variante
Inhaltsverzeichnis:
Eine neue Ransomware-Variante folgt den Fußstapfen der GonnaCope-Ransomware, dem ersten Strang der Familie von CMD-basierten Ransomware, der erstmals im April 2022 aufgetaucht ist. Andere ähnliche Malwaremuster, die im Mai 2022 auf VirusTotal hochgeladen wurden, sind als Kekpop und Kekware bekannt.
Der aufstrebende Akteur wird YourCyanide genannt und hat vermutlich alles, was nötig ist, um zur nächsten großen Bedrohung zu werden. Die aus den Angriffen gewonnenen Daten zeigen, dass der Ransomware-Strang bisher keine Dateien verschlüsselt; der dokumentierte Schaden besteht darin, dass er sie umbenennt, was bei den betroffenen Nutzern zu erheblichen Unannehmlichkeiten führt. Die schwer zu erkennende Variante missbraucht Microsoft-Links, PasteBin und Discord, um die bösartige Nutzlast abzulegen und sich zu verbreiten.
Forscher haben herausgefunden, dass die neueste Variante der CMD-basierten Ransomware-Familie Benutzerinformationen entwenden und der Erkennung entgehen kann, indem sie ihre mehrfachen Ebenen der Verschleierung nutzt.
Erkennen Sie YourCyanide
The Sigma-Regeln unten, veröffentlicht von unseren scharfsinnigen Threat Bounty Entwicklern Aytek Aytemur and Osman Demir, ermöglichen eine mühelose Erkennung der neuesten Angriffe mit der YourCyanide-Ransomware:
Verdächtige YourCyanide-Ausführung durch Erkennung der zugehörigen Befehle (über cmdline)
Die Regeln sind mit dem neuesten MITRE ATT&CK® Framework v.10. abgestimmt und adressieren die Taktiken ‚Impact and Execution‘ mit den Techniken ‚Data Encrypted for Impact‘ (T1486) und ‚Command and Scripting Interpreter‘ (T1059).
Registrieren Sie sich auf der SOC Prime Platform, um Ihre Bedrohungsjagd-Geschwindigkeit mit über 185.000 Erkennungsalgorithmen zu erhöhen, die sich in Ihre SIEM-, EDR- und XDR-Lösungen integrieren. Um auf die umfassende Bibliothek von Sigma-Regeln zur Erkennung von Cyber-Ransomware-Bedrohungen zuzugreifen, klicken Sie den Erkennen & Jagen Knopf unten.
Um eine bessere Sichtbarkeit für Bedrohungen, die durch Ihr Netzwerk gehen, zu erhalten, navigieren Sie mit einer neuartigen Lösung von SOC Prime – der Cyber Threat Search Engine – durch eine sich ständig verändernde Bedrohungslandschaft. Die Suchmaschine ist kostenlos verfügbar und erfordert keine Registrierung. Probieren Sie es aus, indem Sie den Bedrohungskontext Erkunden Knopf betätigen.
Erkennen & Jagen Bedrohungskontext Erkunden
YourCyanide Analyse
Den verfügbaren Daten zufolge stammt die Variante von der GonnaCope-Ransomware ab, die die erste in der Serie von CMD-basierten Ransomware-Strains war und nun unter genauer Beobachtung von Sicherheitsforschern steht. Die YourCyanide-Ransomware wurde ausführlich analysiert von der Trend Micro Threat-Hunting-Team. Benutzer innerhalb eines kompromittierten Netzwerks erhielten eine Nachricht, die besagte, dass ihr System verletzt wurde, gefolgt von der Warnung, dass „Kekware und Kekpop (zwei vorherige Varianten) erst der Anfang waren“.
Forschungsdaten zeigen, dass die Stränge aus dieser Ransomware-Familie sich noch in ihrer Entwicklungsphase befinden, sodass sich Analysten nicht sicher sind, was zu erwarten ist, wenn sie sich weiterentwickeln und ihr volles Potenzial erreichen.
Die YourCyanide-Variante ermöglicht auch den Diebstahl von Zugangsdaten und gefährdet eine Reihe von Anwendungen wie Chrome, Discord und Microsoft Edge.
Experten auf dem Gebiet der Cybersicherheit sind mehr als willkommen, dem Threat Bounty Program beizutreten, um SOC-Inhalte auf der branchenführenden Plattform zu veröffentlichen und für ihre wertvollen Beiträge belohnt zu werden. Ergreifen Sie die Gelegenheit, Ihre Abwehr- und Erkennungsroutine auf ein höheres Niveau zu heben!
