Regla de la Semana: Detección de Ransomware Nefilim/Nephilim

Esta semana queremos destacar la regla Sigma de la comunidad por Emir Erdogan que ayuda a detectar el ransomware Nefilim/Nephilim utilizado en ataques destructivos. Esta familia de ransomware fue descubierta por primera vez hace dos meses, y su código se basa en el ransomware NEMTY que surgió el verano pasado como un programa de afiliados público. Parece que NEMTY se bifurcó en dos proyectos separados, ya que sus operaciones de RaaS se volvieron privadas, o los adversarios vendieron el código fuente a otro grupo. El ransomware Nephilim fue utilizado en múltiples campañas dañinas que amenazan con publicar los datos robados de las víctimas si éstas deciden no pagar un rescate. Los atacantes comprometen los servicios RDP, establecen persistencia, recopilan credenciales adicionales para moverse lateralmente y exfiltran datos antes de entregar las cargas útiles de ransomware a todos los sistemas disponibles. La regla de Emir Erdogan puede detectar el comienzo del ataque, para que puedas actuar antes de que todos tus sistemas sean cifrados: https://tdm.socprime.com/tdm/info/lC8zLKPM5tEv/mCFyDXIBjwDfaYjKjXen/?p=1

La detección de amenazas es compatible con las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, Sumo Logic

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Impacto, Ejecución, Evasión de Defensa

Técnicas: Datos Cifrados para Impacto (1486), Desactivación de Herramientas de Seguridad (1089), Inhibición de Recuperación del Sistema (T1490)

Emir Erdogan es un participante activo del Programa de Recompensas por Amenazas de SOC Prime. Los usuarios de TDM pueden ver su nombre en la sección de Autores Principales por Descargas en los Leaderboards, así como ver todo el contenido publicado por el autor en el Threat Detection Marketplace.