Contenido de Detección: Comportamiento Ransom X

[post-views]
julio 02, 2020 · 2 min de lectura
Contenido de Detección: Comportamiento Ransom X

Otra familia de ransomware apareció esta primavera y se utiliza activamente en ataques dirigidos contra empresas y agencias gubernamentales. A mediados de mayo, los ciberdelincuentes atacaron la red del Departamento de Transporte de Texas, pero se descubrió el acceso no autorizado y, como resultado, solo una parte de los sistemas fue encriptada. En este ataque se utilizó un nuevo ransomware: Ransom X, que se destaca entre sus «parientes». Ransom X es un ransomware operado por humanos que abre una consola después de la ejecución que muestra información a los adversarios mientras se ejecuta. Termina 289 procesos relacionados con herramientas de acceso remoto, software de seguridad, bases de datos y servidores de correo. También ejecuta una serie de comandos para borrar los registros de eventos de Windows, eliminar los diarios NTFS, desactivar la restauración del sistema, deshabilitar el entorno de recuperación de Windows, eliminar los catálogos de respaldo de Windows y limpiar el espacio libre de los discos locales. Además, esta variante de ransomware no encripta varias carpetas muy específicas, y los investigadores creen que en esas carpetas los ciberdelincuentes almacenan sus herramientas utilizadas para infectar otros sistemas en la organización. Actualmente se desconoce si los criminales roban datos antes de encriptar archivos o incluso utilizan la encriptación para ocultar su actividad maliciosa.

El ransomware Ransom X se puede detectar usando la regla de caza de amenazas comunitaria de Ariel Millahuel disponible en Threat Detection Marketplace:https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1 https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Ejecución, Persistencia, Escalada de Privilegios

Técnicas: Tarea Programada (T1053)

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Táctica de Ejecución | TA0002
Blog, Últimas Amenazas — 6 min de lectura
Táctica de Ejecución | TA0002
Daryna Olyniychuk
PyVil RAT por el grupo Evilnum
Blog, Últimas Amenazas — 2 min de lectura
PyVil RAT por el grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Últimas Amenazas — 2 min de lectura
JSOutProx RAT
Eugene Tkachenko