Detección de Ransomware LockBit: Pandilla Cibercriminal Affiliados de Evil Corp, también conocidos como UNC2165, Intentan Evadir Sanciones de EE.UU.
Tabla de contenidos:
En diciembre de 2019, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. sancionó a la banda de ciberdelincuentes vinculada a Rusia rastreada como Evil Corp (también conocida como Dridex, INDRIK SPIDER) que estaba detrás del despliegue y distribución del notorio malware Dridex que ha estado atacando a bancos e instituciones financieras durante casi una década. En un intento por evadir las sanciones, los actores de amenazas estaban buscando formas de cambiar a operaciones de ransomware más sofisticadas desarrollando y aplicando nuevas muestras de malware, incluidas WasterLocker and Hades ransomware, este último enriquecido con un conjunto de mejoras de ofuscación de código.
Según la última investigación de Mandiant, un grupo de amenazas con motivación financiera denominado UNC2165 observado anteriormente entregando malware Hades y también vinculado a intrusiones de ransomware LockBit, podría estar afiliado a los actores de Evil Corp basándose en superposiciones y patrones de comportamiento adversario similares. Por lo tanto, la actividad maliciosa del grupo UNC2165 puede considerarse otro paso en la evolución de las operaciones afiliadas a Evil Corp.
Detectar Actividad de Evil Corp Afiliada con UNC2165
La evolución de los ataques de ransomware representa una amenaza seria para las organizaciones globales, por lo que su detección oportuna parece ser una consideración significativa al construir una estrategia de ciberseguridad eficiente. Para detectar la actividad maliciosa de los notorios afiliados de Evil Corp que están evolucionando constantemente su conjunto de herramientas adversarias, explore un conjunto dedicado de reglas Sigma de la plataforma Detection as Code de SOC Prime:
Reglas Sigma para detectar actividad afiliada a Evil Corp también rastreada como UNC2165
Todas las detecciones son aplicables a soluciones SIEM, EDR y XDR líderes en la industria soportadas por la plataforma de SOC Prime y están alineadas con el marco MITRE ATT&CK® asegurando visibilidad comprensiva de amenazas relevantes.
Los practicantes de InfoSec que se esfuerzan por estar completamente equipados con capacidades mejoradas de detección y caza de amenazas son invitados a explorar la colección completa de reglas Sigma disponible en la plataforma de SOC Prime y adaptada a necesidades de seguridad personalizadas. Para explorar la lista completa de contenidos de SOC para detectar ransomware LockBit y buscar instantáneamente amenazas relevantes, haga clic en el Detectar y Cazar botón. Para explorar instantáneamente referencias de MITRE ATT&CK, CTI relevantes y más metadatos para una investigación de amenazas en profundidad, navegue por el motor de búsqueda de Primer de SOC para Detección de Amenazas, Caza de Amenazas, y CTI haciendo clic en el Explorar Contexto de Amenazas botón.
Detectar y Cazar Explorar Contexto de Amenazas
UNC2165 Despliega Ransomware LockBit: Nuevos Vectores de Ataque
Según la investigación en profundidad de Mandiant, el colectivo de hackers rastreado como UNC2165 está utilizando cada vez más el ransomware LockBit para obtener ganancias financieras. Los expertos en seguridad señalan que UNC2165 tiene superposiciones significativas con los actores de Evil Corp, presumiblemente siendo la nueva encarnación del colectivo que cambia su conjunto de herramientas una vez más para evitar las sanciones de EE.UU. by Mandiant, the hacker collective tracked as UNC2165 is increasingly using LockBit ransomware for financial gains. Security experts point out that UNC2165 has significant overlaps with Evil Corp actors, presumably being the new incarnation of the collective that morphs its toolset once again to avoid U.S. sanctions.
Desde que fue sancionado en 2019 por campañas de malware Dridex, el grupo Evil Corp ha cambiado el conjunto de herramientas varias veces para continuar con operaciones motivadas financieramente. Anteriormente, el grupo tenía un enfoque único para penetrar en las redes de destino a través de la cadena de infección “FakeUpdates”, desplegando variantes personalizadas de WastedLocker y Hades. Sin embargo, recientemente se ha visto a Evil Corp confiando cada vez más en LockBit ransomware como servicio (RaaS) en lugar de muestras exclusivas de ransomware. La razón de esto es esquivar las sanciones de OFAC ocultándose entre otros afiliados de LockBit RaaS y aprovechando la infraestructura de LockBit para operaciones anonimizadas.
Los expertos de Mandiant han analizado la nueva cadena de eliminación concluyendo que los actores de UNC2165 se atienen a FakeUpdates para la intrusión inicial. Particularmente, los hackers utilizan cargas DONUT y COLOFAKE para desplegar Cobalt Strike Beacon y ganar una posición en la red. Además, se utilizan ataques de Mimikatz y Kerebroasting para la escalada de privilegios, mientras un conjunto de utilidades nativas de Microsoft Windows (whoami, nltest, cmdkey, and net) se utilizan para el reconocimiento interno. Después de que los hackers acceden y exfiltran datos sensibles a través del entorno, UNC2165 despliega cargas de LockBit para encriptar activos objetivo.
Potencie las capacidades de detección de amenazas y acelere la velocidad de caza de amenazas accediendo al conjunto de herramientas más completo para el equipo SOC disponible a través de la plataforma Detection as Code de SOC Prime! Únase ahora gratis y acceda instantáneamente a la biblioteca más grande de contenido de detección junto a herramientas avanzadas para aumentar la efectividad de sus operaciones de ciberseguridad.
