Detección del Ransomware Redeemer: Nueva Versión Distribuida en Foros Underground

[post-views]
agosto 24, 2022 · 4 min de lectura
Detección del Ransomware Redeemer: Nueva Versión Distribuida en Foros Underground

El autor del constructor de ransomware Redeemer le dio un nuevo giro al software del malware, distribuyendo su nueva versión en foros de cibercrimen. La versión 2.0 de ransomware Redeemer está escrita en C++ y está diseñada para infectar hosts del sistema operativo Windows. La primera versión de Redeemer fue lanzada en el verano de 2021, seguida de su variante mejorada publicada el mes pasado.

Los hackers criminales pueden usar Redeemer sin cargo; sin embargo, el actor de amenaza apodado Cerebrate, quien afirma ser el desarrollador detrás del proyecto, pide el 20% del rescate, pagado en criptomoneda Monero.

El autor del ransomware afirma que esta versión es más difícil de detectar, viene con un algoritmo de cifrado avanzado y nuevas características como una interfaz de usuario mejorada y la capacidad de preservar el sistema de la víctima a salvo de daños adicionales además del cifrado de archivos.

Detectar Ransomware Redeemer

El mercado de ransomware está experimentando una era de crecimiento radical, con su costo para las empresas en todo el mundo alcanzando solo el año pasado un récord de 20 mil millones de dólares en daños. Para combatir los ataques de extorsión respaldados por cifrado con mejor eficiencia y velocidad, utilice reglas basadas en Sigma disponibles en la plataforma de Threat Detection de SOC Prime. La regla más reciente para detectar comportamientos de ransomware Redeemer v. 2.0 utilizando logs de process_creation es proporcionada por el Programa de Bounty de Amenazas miembro Emir Erdogan:

Detección de Ransomware Redeemer (mediante process_creation)

Para asegurarse de que no quede piedra sin remover en la búsqueda de posibles brechas de seguridad, utilice otra regla relevante, liberada por nuestro desarrollador de primer nivel Osman Demir:

Actividad Sospechosa de Ransomware Redeemer mediante Adición de Entrada de Registro (mediante registry_event)

Ambas reglas están alineadas con el marco MITRE ATT&CK® v.10. Los profesionales de la seguridad pueden cambiar fácilmente entre múltiples formatos de SIEM, EDR y XDR para obtener el código fuente de la regla aplicable a más de 25 soluciones de seguridad.

The Detectar y Cazar botón lo llevará a un vasto repositorio de algoritmos de detección asociados con ataques de ransomware. La biblioteca de SOC Prime se actualiza constantemente con nuevo contenido, impulsada por el enfoque colaborativo de defensa cibernética y habilitada por el modelo Follow the Sun (FTS) para garantizar la entrega oportuna de detecciones para amenazas críticas como respuesta al auge masivo en el número de ocurrencias de ransomware. Haga clic en el botón Explorar Contexto de Amenazas para acceder a reglas Sigma relacionadas con el ransomware Redeemer utilizando el motor de búsqueda SOC Prime: su tienda única para la Caza de Amenazas, Detección de Amenazas, y todo el contexto relevante.

Detectar y Cazar Explorar Contexto de Amenazas

Análisis de Ransomware Redeemer

La última variante del ransomware Redeemer fue lanzada en julio de 2022, apareciendo en foros clandestinos. La cepa se comercializa para atraer principalmente a actores de amenaza de nivel principiante mientras ofrece capacidades mejoradas de ofuscación.

Expertos en seguridad de Cyble informaron que la nueva variante introduce varias de las siguientes características, como soporte para Windows 11, un kit de herramientas para afiliados con GUI, XMPP Chat/Tox Chat/hasta dos correos electrónicos, etc.

El creador de Redeemer controla los datos de ingresos de cada afiliado asignando IDs rastreables. Antes del cifrado, la variante de ransomware utiliza comandos de Windows para borrar los registros de eventos y las copias de seguridad, haciendo que las posibilidades de la víctima de recuperar sus datos sean mínimas o nulas.

El mensaje de promoción de Cerebrate declara la promesa de liberar el código fuente de Redeemer en caso de que el autor ‘pierda interés’ en ejecutar el proyecto.

Las infecciones de ransomware son rampantes en todas las industrias, causando serias interrupciones en las operaciones y daños monetarios y reputacionales significativos. Únete a SOC Prime para aprovechar los beneficios de la defensa cibernética colaborativa y mantenerse al tanto de los últimos hallazgos de inteligencia sobre amenazas cibernéticas y soluciones líderes en la industria.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la Técnica de Ingeniería Social ClickFix 4 min de lectura Últimas Amenazas Detección de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la Técnica de Ingeniería Social ClickFix by Veronika Telychko Detección del ransomware Interlock: actores maliciosos despliegan una nueva variante de RAT basada en PHP vía FileFix 4 min de lectura Últimas Amenazas Detección del ransomware Interlock: actores maliciosos despliegan una nueva variante de RAT basada en PHP vía FileFix by Veronika Telychko Detección de Actividad del Grupo de Ransomware BERT: Ataques en Asia, Europa y EE. UU. contra Plataformas Windows y Linux 5 min de lectura Últimas Amenazas Detección de Actividad del Grupo de Ransomware BERT: Ataques en Asia, Europa y EE. UU. contra Plataformas Windows y Linux by Veronika Telychko
Todas las noticias