Detección del Ransomware como Servicio FONIX
Tabla de contenidos:
Otra plataforma de Ransomware como Servicio se está preparando para jugar un juego de alto riesgo con las organizaciones. Investigadores de Sentinel Labs descubrieron los primeros ataques utilizando la plataforma FONIX hace unos tres meses. Ahora, esta plataforma RaaS todavía está en desarrollo activo, pero sus primeros clientes ya están probando sus capacidades. Hasta ahora, FONIX es bastante incómodo de usar, su proceso de cifrado es bastante lento, pero el ransomware es poco detectado por la mayoría de las soluciones de seguridad. Y esta última calidad puede superar las principales desventajas. Además, obtener una muestra maliciosa y usarla durante un ataque es completamente gratis: los autores de FONIX recibirán el 25% del monto del pago del rescate más tarde.
El ransomware FONIX es lento pero eficiente
La lentitud del cifrado se debe a que durante un ataque cifra no ciertos tipos de archivos, sino en general todo excepto los archivos críticos del sistema. Otro factor que ralentiza el ataque es el uso de una combinación de protocolos de cifrado (Chacha, AES, Salsa20 y AES) durante el proceso de cifrado. Quizás este enfoque demuestre la inexperiencia de los autores en esta área, quienes sacrifican la velocidad por la imposibilidad garantizada de que las víctimas descifren los datos por su cuenta. Los investigadores suponen que los adversarios estuvieron involucrados en el desarrollo de encriptadores binarios.
Comunicaciones por correo electrónico y exfiltración de archivos
A diferencia de la mayoría de las plataformas RaaS, FONIX no tiene un panel de control para rastrear y gestionar campañas maliciosas. En cambio, sus autores están trabajando en servicios de correo electrónico para anonimizar las comunicaciones con las víctimas (posiblemente también para rastrear la actividad de los afiliados). Pero por ahora, los afiliados están obligados a usar servicios de correo electrónico de terceros para las comunicaciones, poniéndose en riesgo. Para probar el descifrado de archivos y obtener un descifrador después de recibir un rescate, los ciberdelincuentes se ven obligados a recurrir a los autores del ransomware, lo que también conlleva riesgos adicionales.
Es notable que durante los ataques detectados, los afiliados no robaron los datos para que la amenaza de divulgación obligara a la víctima a pagar un rescate. Pero esto más bien indica la inexperiencia de los atacantes, y los ciberdelincuentes experimentados bien podrían exfiltrar información sensible antes de cifrar los sistemas.
Hasta ahora, no ha habido ataques de alto perfil utilizando este ransomware, y para que nunca sucedieran, Osman Demir desarrolló la regla de caza de amenazas de la comunidad para detectarlo: https://tdm.socprime.com/tdm/info/YYuWsuf9iDSA/CEPBDHUBR-lx4sDxrTcs/
La regla tiene traducciones para las siguientes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Elastic Endpoint
MITRE ATT&CK:
Tácticas: Impacto, Persistencia
Técnicas: Datos cifrados para impacto (T1486), Claves de ejecución del registro / Carpeta de inicio (T1060)
¿Listo para probar SOC Prime Threat Detection Marketplace? Regístrate gratis. O únete al Programa de Recompensas por Amenazas para crear tu propio contenido y compartirlo con la comunidad de Threat Detection Marketplace.
