Contenido de Detección: Ransomware WastedLocker

[post-views]
julio 08, 2020 · 3 min de lectura
Contenido de Detección: Ransomware WastedLocker

El nuevo ransomware WastedLocker fue detectado por primera vez en mayo de 2020. Fue desarrollado por el grupo de alto perfil Evil Corp, que anteriormente utilizó el troyano Dridex para desplegar ransomware en ataques dirigidos a organizaciones gubernamentales y empresas en Estados Unidos y Europa. ransomware en ataques dirigidos a organizaciones gubernamentales y empresas en Estados Unidos y Europa. ransomware in attacks targeting government organizations and enterprises in the United States and Europe.

El año pasado, parte de los atacantes dejó el grupo y comenzó sus propios ataques usando ransomware DoppelPaymer basado en el código de BitPaymer. Después de una breve pausa, los hackers de Evil Corp continuaron sus ataques y comenzaron a preparar una operación a gran escala utilizando la nueva familia de ransomware. WastedLocker y BitPaymer tienen poco en común. El compromiso inicial se lleva a cabo a través del marco de actualización falsa SocGholish, que ahora se utiliza para distribuir directamente un cargador CobaltStrike personalizado. Luego, el marco determina si el sistema infectado es parte de la red de la organización, recopila información adicional sobre el sistema y la pasa a los adversarios. Después de entrar en la red, el actor de la amenaza utiliza varios conjuntos de herramientas como Cobalt Strike, Mimikatz, Empire y PowerSploit para facilitar el movimiento lateral a través de los entornos de la organización objetivo. Además, Evil Corp utiliza la funcionalidad nativa del sistema operativo (LoLBins) para evadir la detección y operar bajo el radar hasta el inicio de la encriptación.

Nuevas reglas de los participantes en el programa Threat Bounty ayudan a detectar la actividad maliciosa de Evil Corp y el despliegue del ransomware WastedLocker:

Caza de Ransomware WastedLocker (Extracción de credenciales)

Caza de Ransomware WastedLocker (Acceso inicial y compromiso) by Caza de Ransomware WastedLocker (Acceso inicial y compromiso): Caza de Ransomware WastedLocker (Acceso inicial y compromiso)

por Ariel Millahuel: Caza de Ransomware WastedLocker (Evasión de defensa) Caza de Ransomware WastedLocker (Evasión de defensa)

Caza de Ransomware WastedLocker (Descubrimiento) Caza de Ransomware WastedLocker (Evasión de defensa)
Caza de Ransomware WastedLocker (Descubrimiento)

Wastedlocker un nuevo variante de ransomware desarrollado por el grupo evil corp Caza de Ransomware WastedLocker (Evasión de defensa)
Wastedlocker un nuevo variante de ransomware desarrollado por el grupo evil corp

Las reglas tienen traducciones para las siguientes plataformas: by Las reglas tienen traducciones para las siguientes plataformas:: Las reglas tienen traducciones para las siguientes plataformas:

MITRE ATT&CK: 

Tácticas: Acceso Inicial, Ejecución, Impacto

Tácticas: Acceso Inicial, Ejecución, Impacto

Tácticas: Acceso Inicial, Ejecución, Impacto

Técnicas: PowerShell (T1086), Ejecución de Servicio (T1035), Compromiso Drive-by (T1089), Datos encriptados para impacto (T1486)

Techniques: PowerShell (T1086), Service Execution (T1035), Drive-by Compromise (T1089), Data Encrypted for Impact (T1486)

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Táctica de Ejecución | TA0002
Blog, Últimas Amenazas — 6 min de lectura
Táctica de Ejecución | TA0002
Daryna Olyniychuk
PyVil RAT por el grupo Evilnum
Blog, Últimas Amenazas — 2 min de lectura
PyVil RAT por el grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Últimas Amenazas — 2 min de lectura
JSOutProx RAT
Eugene Tkachenko