Detección de Ransomware Magniber: Actores de Amenazas Distribuyen Archivos JavaScript Dirigidos a Usuarios de Windows
Tabla de contenidos:
A lo largo de 2021-2022, el ransomware continúa siendo una de las tendencias dominantes en el panorama de amenazas cibernéticas, ilustrado por la creciente sofisticación de las intrusiones y un número rápidamente creciente de afiliados de ransomware. Los investigadores en ciberseguridad advierten sobre las campañas maliciosas en curso, que apuntan a usuarios de Windows y distribuyen ransomware Magniber disfrazado de actualizaciones de software.
Detectar Ransomware Magniber
Los ataques de ransomware Magniber contra usuarios de Windows pueden suponer riesgos significativos debido al uso de técnicas adversarias para evadir la detección, la ofuscación y capacidades ofensivas más avanzadas que pueden atraer a una posible víctima para desencadenar una cadena de infección. Para ayudar a los profesionales de ciberseguridad a identificar a tiempo la presencia maliciosa en su entorno, la plataforma de SOC Prime selecciona una nueva regla Sigma para la detección de ransomware Magniber. El algoritmo de detección creado por nuestro agudo desarrollador del Programa de Recompensas por Amenazas Aykut Gurses detecta la actividad de archivos JavaScript que inicia la infección por ransomware Magniber. Siga el enlace a continuación para profundizar instantáneamente en esta regla Sigma y todo el contexto relevante, incluyendo referencias de MITRE ATT&CK® , enlaces de medios, inteligencia de amenazas y binarios ejecutables:
Esta consulta de búsqueda de amenazas basada en Sigma se puede utilizar en 23 soluciones SIEM, EDR y XDR y está comparada con el marco de MITRE ATT&CK, abordando la táctica de Impacto con las técnicas correspondientes de Datos Cifrados para Impacto (T1486) e Inhibir Recuperación del Sistema (T1490).
Cazadores de amenazas e ingenieros de detección ansiosos por perfeccionar y monetizar sus habilidades Sigma & ATT&CK pueden unirse a las filas del desarrollo colaborativo y participar en nuestro Programa de Recompensas por Amenazas. Envía tus propias detecciones, desarrolla tu perfil de habilidades duras y comparte tu experiencia con colegas de la industria.
Para defenderse proactivamente de todos los ataques de ransomware Magniber existentes y emergentes, pulsa el botón Explorar Detecciones e instantáneamente accede a toda la colección de reglas Sigma enriquecidas con contexto relevante junto con sus traducciones. No hay condiciones: el acceso a las detecciones y su contexto de amenazas cibernéticas está disponible sin registrarse.
Análisis del Ransomware Magniber: Ataques Recientes Propagando Infección Vía Archivos JavaScript
Una nueva ola de ataques de ransomware Magniber causa revuelo en el escenario de amenazas cibernéticas. Los operadores de ransomware Magniber esparcen muestras maliciosas a través de archivos JavaScript que se hacen pasar por actualizaciones de seguridad y afectan las versiones de Windows 10 y 11. Según el último informe de los expertos en Investigación de Amenazas de HP , los atacantes exigen a los usuarios comprometidos pagar un rescate de hasta $2,500 para descifrar y recuperar sus datos infectados. Cabe destacar que en campañas adversarias anteriores, el ransomware Magniber se entregó a través de archivos MSI y EXE, ahora cambiando a técnicas de JavaScript típicas de los ataques más recientes.
La cadena de infección de Magniber en los ataques actuales comienza con la descarga de archivos ZIP maliciosos que contienen JavaScript, que están disfrazados como falsos antivirus de actualizaciones de software de Windows 10. Una vez extraído el archivo ZIP y descargado el JavaScript, los dispositivos vulnerables se infectan con cepas de ransomware cifradoras de archivos. Los archivos JavaScript maliciosos utilizados por los operadores de ransomware Magniber están ofuscados y aplican sofisticadas técnicas de evasión de detección, similar a la «DotNetToJScript», ejecutando un archivo .NET en la memoria del sistema e intentando evadir la detección por software antivirus. El archivo .NET decodifica shellcode, que elimina los archivos de copia de seguridad del sistema comprometido y desactiva las capacidades de copia de seguridad y recuperación de datos a través de las utilidades de Windows correspondientes, permitiendo a los actores de amenazas aumentar sus posibilidades de recibir un rescate. Para eliminar los archivos de copia de seguridad y bloquear la configuración de recuperación de Windows, Magniber utiliza la función UAC (Control de Cuentas de Usuario) de Windows, lo que permite a los atacantes ejecutar operaciones con privilegios elevados. En las etapas finales del ciclo de vida del ataque, el ransomware Magniber cifra archivos y deja notas de rescate dirigiéndose a los usuarios comprometidos con los detalles de la recuperación de archivos después del pago.
Como medidas de mitigación del ransomware Magniber, los defensores cibernéticos recomiendan utilizar cuentas de administrador para usuarios domésticos solo en caso de necesidad extrema, descargar software y sus actualizaciones sólo de recursos web legítimos y de confianza, y realizar continuamente copias de seguridad de los datos del usuario para asegurar una protección adecuada del sistema y seguridad de los datos.
¡El acceso inmediato a más de 650 reglas únicas Sigma para detectar ransomware está a solo unos clics de distancia! Obtén más de 30 reglas de forma gratuita o accede a todas las detecciones con On-Demand en http://my.socprime.com/pricing. Aprende más sobre cómo detectar un 95% más rápido que tus pares y generar valor inmediato con On Demand aquí.
