Detección de Ataques de Ransomware Quantum: Malware Desplegado a Velocidad Relámpago

[post-views]
abril 28, 2022 · 3 min de lectura
Detección de Ataques de Ransomware Quantum: Malware Desplegado a Velocidad Relámpago

El ransomware Quantum ha estado en el centro de atención desde finales del verano de 2021, participando en intrusiones de alta velocidad y escaladas dinámicamente que dejaron a los defensores cibernéticos solo una breve ventana para detectar y mitigar las amenazas a tiempo. Según la investigación en ciberseguridad DFIR, el último ataque de ransomware Quantum observado se clasifica como uno de los casos más rápidos que ha tardado menos de 4 horas en desplegar el ransomware después de comprometer el entorno objetivo.

Detectar Ransomware Quantum: Reglas Sigma

Para revelar proactivamente los notorios ataques de Quantum contra el entorno organizacional, puede aprovechar un conjunto de reglas Sigma seleccionadas que proporcionan nuestros atentos desarrolladores de Threat Bounty Emir Erdogan and Nattatorn Chuensangarun.

Ransomware Quantum utiliza Cobalt Strike Beacon (via pipe_event)

Detección de Comportamiento Sospechoso de Quantum Ransomware (via process_creation)

Posible Persistencia de Quantum Ransomware por Creación de Tareas Programadas (via process_creation)

Posible Ejecución de Quantum Ransomware con Carga Útil IcedID (via file_event)

Posible Quantum Ransomware al Transferir Ransomware al Host a Través del Dominio (via process_creation)

Posible uso de PsExec y WMI por Quantum Ransomware para Ejecutar Ransomware (via process_creation)

Dado que la última rutina de Quantum presume el uso de muestras de IcedID para iniciar la cadena de infección, le recomendamos que revise el contenido de detección destinado a identificar ataques relacionados con IcedID. La lista completa de reglas Sigma relevantes puede accederse en la plataforma de SOC Prime a través del siguiente enlace

Para seguir las actualizaciones de las reglas Sigma y acceder al conjunto completo de detecciones para el ransomware Quantum, presione el Ver Detecciones botón abajo. ¿Ansioso por ayudar a la comunidad de ciberseguridad a resistir los desagradables ataques cibernéticos y enriquecer la biblioteca de contenido con su propio contenido basado en Sigma? Únase a nuestro programa Threat Bounty y obtenga recompensas recurrentes por su aporte.

Ver Detecciones Únase a Threat Bounty

Análisis de Ataque de Ransomware Quantum

El último ataque muestra el tiempo récord hasta el rescate cubriendo en total menos de 4 horas. El ataque de ransomware comenzó con la implementación de la carga útil IceID en la instancia objetivo distribuida a través de un correo electrónico de phishing. En particular, los operadores de ransomware ocultaron el IcedID dentro del archivo ISO malicioso para pasar las protecciones de seguridad de correo electrónico y asegurar la infección exitosa. Un par de horas desde la etapa inicial del ataque, los adversarios desencadenaron la actividad manual dejando caer malware Cobalt Strike utilizado para acceso remoto y robo de información. Para establecer la propagación lateral sin contratiempos, los actores de amenazas descargaron credenciales del Dominio de Windows con la ayuda de LSASS creando conexiones RDP a servidores accesibles dentro de la red. Finalmente, los hackers impulsaron la carga útil de Quantum utilizando utilidades WMI y PsExec para cifrar los activos de interés.

¿Quién es Quantum Locker?

Quantum Ransomware (también conocido como Quantum Locker) es un sucesor del RaaS MountLocker revelado inicialmente a finales de 2020. Desde entonces, los operadores cambiaron frecuentemente su producto malicioso bajo títulos tales como AstroLocker o XingLocker. En el verano de 2021, la muestra de Quantum Locker comenzó a circular en la web. Según los informes, las demandas de rescate para la descifrado varían significativamente, desde $150,000 hasta pagos de $3-4 millones. Además, los adversarios aplican el enfoque de doble extorsión para añadir aún más presión sobre las víctimas de Quantum Locker.

Para reforzar las capacidades proactivas de defensa cibernética, las organizaciones progresivas confían en un enfoque colaborativo de defensa cibernética. Únase a la plataforma de Detection as Code de SOC Prime para mantenerse constantemente al día con el volumen creciente de ataques y abordar las últimas amenazas en menos de 24 horas.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias