Regla de la Semana: Detección de Ransomware VHD

Creemos que hoy merecidamente damos el título de Regla de la Semana a la exclusiva regla Sigma desarrollada por Osman Demir para habilitar la detección del ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 

Los primeros ataques utilizando esta cepa de ransomware comenzaron en marzo de 2020, y solo recientemente los investigadores han vinculado a Lazarus APT. Esto fue facilitado por la detección en algunos ataques del uso del marco multiplataforma MATA, que es utilizado exclusivamente por este notorio actor de amenaza norcoreano; las reglas para detectar el marco fueron publicadas a principios de esta semana..

En algunos ataques, los adversarios usaron una utilidad de propagación que difundió el ransomware dentro de la red. La utilidad se crea después de un reconocimiento detallado y la recopilación de credenciales administrativas y direcciones IP que se utilizan para forzar el servicio SMB en cada máquina descubierta.

El grupo Lazarus es probablemente el único actor de amenazas patrocinado por el estado que se ocupa del cibercrimen motivado financieramente. En ataques recientes, el grupo explotó una pasarela VPN vulnerable, obtuvo privilegios administrativos, desplegó un backdoor en el sistema comprometido, y fue capaz de tomar el control del servidor Active Directory. Curiosamente, antes del inicio de los ataques de ransomware VHD, se observó a Lazarus APT utilizando el malware TrickBot para acceder a las redes de las víctimas.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Impacto

Técnicas: Datos cifrados para Impacto (T1486)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad de TDM.