Contenido de Detección: Ransomware Scarab

El ransomware Scarab fue detectado por primera vez en junio de 2017 y desde entonces ha estado reapareciendo con nuevas versiones. Este ransomware es una de las muchas variantes de HiddenTear, un troyano de ransomware de código abierto lanzado en 2015. 

Las versiones de ransomware descubiertas recientemente utilizan un método de cifrado RSA mejorado y agregan varias extensiones a los archivos infectados. El ransomware Scarab interfiere con métodos alternativos de recuperación, eliminando los puntos de restauración de Windows y las Copias Sombra de Volumen que podrían usarse para restaurar los archivos afectados a sus estados anteriores. La descifrado sin una clave única es imposible. Los investigadores lo observaron en múltiples campañas: los adversarios envían correos electrónicos de phishing para difundir el software malicioso, en varios casos, alquilaron Necurs botnet con este propósito. 

Múltiples variantes del ransomware continúan apareciendo en el panorama de amenazas. La última fue vista hace dos semanas añadiendo la extensión .cov19 para los archivos encriptados. Una nueva regla Sigma de caza de amenazas comunitaria por Ariel Millahuel ayuda a descubrir nuevas muestras del ransomware Scarab al inicio del proceso de cifrado: https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Impacto

Técnicas: Datos encriptados para Impacto (T1486)

Esta semana Ariel ha publicado otra regla comunitaria para la detección de ransomware. Detecta características de AKO Ransomware, que es la nueva oferta de ransomware como servicio en desarrollo: https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75