Regla de la Semana: Thanos Ransomware

Hoy en la sección Regla de la Semana, sugerimos prestar atención a la regla publicada por Emir Erdogan. La nueva regla ayuda a detectar el ransomware Thanos, que ha utilizado la táctica RIPlace para eludir las soluciones anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1

El ransomware Thanos apareció por primera vez a finales del año pasado, y sus autores lo anunciaron en foros clandestinos y canales cerrados. Se distribuye como Ransomware-as-a-Service proporcionando incluso a atacantes sin experiencia una herramienta personalizada para crear cargas útiles únicas. El ransomware Thanos es más complejo que muchos servicios de ransomware basados en constructores anteriores. Muchas de las opciones disponibles en el constructor de Thanos están diseñadas para evadir soluciones de seguridad. Las características avanzadas del ransomware también incluyen múltiples opciones de persistencia, datos de ensamblaje aleatorios, Anti-VM / evasión de VM, terminación de Windows Defender y otros productos de AV, y opciones de propagación configurables. Recientemente, los autores del ransomware añadieron el uso de RIPlace para evitar la detección. Thanos es la primera familia de ransomware que utiliza la táctica RIPlace. Esta es una técnica del sistema de archivos de Windows, que se puede utilizar para alterar maliciosamente archivos permitiendo que el ransomware evite la detección.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Impacto, Evasión de Defensa, Descubrimiento

Técnicas: Datos Encriptados para Impacto (T1486), Desactivación de Herramientas de Seguridad (T1089), Descubrimiento de Software de Seguridad (T1063), Descubrimiento de Software (T1518)