Contenido de Detección: Troyano Phorpiex

En uno de nuestros contenidos de búsqueda de amenazas artículos del blog, ya observamos una regla para detectar Avaddon ransomware, una nueva variante de Ransomware-como-un-Servicio que fue detectada por primera vez a principios de junio. Uno de los distribuidores más activos del ransomware Avaddon es el botnet Phorpiex, que recientemente se recuperó de las pérdidas sufridas a principios de este año. Los sistemas infectados pueden enviar decenas de miles de correos electrónicos por hora, y a finales de 2019, el número de estos sistemas estaba cerca del medio millón.

El botnet Phorpiex, también conocido como Trik, ha estado activo durante más de una década, y en los últimos años, el botnet estuvo ‘fuera de operaciones’ en dos ocasiones durante mucho tiempo debido a brechas de seguridad. La última vez, este invierno, alguien secuestró la infraestructura de backend del botnet y desinstaló el malware de spam-bot de una parte de los anfitriones infectados, mientras también mostraba una ventana emergente diciendo a las víctimas que instalaran un antivirus y actualizaran sus sistemas. A pesar de esto, los ciberdelincuentes una vez más restauraron su eficiencia y comenzaron a llevar a cabo campañas de spam masivo para distribuir el ransomware Avaddon. En el pasado, el botnet ha utilizado repetidamente sus poderes en campañas de extorsión sexual, para entregar el ransomware GandCrab, el troyano Pushdo, y para minar criptomonedas en los anfitriones infectados (algunas de estas olas de correo masivo alcanzaron los 27 millones de correos por campaña). La nueva regla de búsqueda de amenazas Sigma presentada por Osman Demir permite a las soluciones de seguridad descubrir la instalación de muestras del botnet Phorpiex descubiertas recientemente: https://tdm.socprime.com/tdm/info/3MbqhCMu2lQ7/SsQ7OHMBPeJ4_8xc3syx/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Acceso Inicial

Técnica: Adjunto de Spearphishing (T1193)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Recompensas de Amenazas para crear tu propio contenido y compartirlo con la comunidad de TDM.