Detector de Ransomware Smaug (Comportamiento de Sysmon)

Hoy queremos atraer su atención a una amenaza relativamente reciente y contenido para su detección. Smaug Ransomware-as-a-Service apareció en los radares de los investigadores a finales de abril de 2020, los atacantes buscan afiliados exclusivamente en foros de la Dark Web de habla rusa y ofrecen usar su plataforma por un pago inicial bastante grande y un 20% de las ganancias posteriores. Para atraer a hackers experimentados, los autores del malware en algunos foros han sugerido no pagar un anticipo si los ciberdelincuentes pueden probar sus éxitos pasados.

Como podrías adivinar, el proyecto sobrevivió y encontró sus seguidores, a pesar de la simplicidad del malware y la necesidad por parte del usuario de preocuparse por medios adicionales para ocultar el código malicioso. Los afiliados que utilizan el ransomware Smaug tienen acceso a un panel de control donde pueden rastrear sus campañas y crear cargas útiles para atacar tanto a organizaciones como a individuos. Smaug está escrito en Golang, y los investigadores descubrieron muestras dirigidas a sistemas Windows y Linux y utilizando la clave pública RSA durante el proceso de cifrado. Puede ejecutarse completamente sin conexión sin necesidad de conexión a una red, y sus autores fomentan ataques internos en sistemas que de otro modo no serían tan vulnerables a los ataques de ransomware.

El participante en el programa Threat Bounty, Lee Archinal publicó una regla exclusiva de caza de amenazas que detecta las características del ransomware Smaug: https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Impacto

Técnicas: Datos Cifrados para Impacto (T1486)

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.