Detector de Ransomware Smaug (Comportamiento de Sysmon)

Últimas Amenazas

septiembre 11, 2020

2 min de lectura

Detector de Ransomware Smaug (Comportamiento de Sysmon)

Eugene Tkachenko
Eugene Tkachenko Líder del Programa Comunitario linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Suscríbete al Resumen Semanal

Exclusivo para usuarios de SOC Prime

Newsletter Icon

Hoy queremos atraer su atención a una amenaza relativamente reciente y contenido para su detección. Smaug Ransomware-as-a-Service apareció en los radares de los investigadores a finales de abril de 2020, los atacantes buscan afiliados exclusivamente en foros de la Dark Web de habla rusa y ofrecen usar su plataforma por un pago inicial bastante grande y un 20% de las ganancias posteriores. Para atraer a hackers experimentados, los autores del malware en algunos foros han sugerido no pagar un anticipo si los ciberdelincuentes pueden probar sus éxitos pasados.

Como podrías adivinar, el proyecto sobrevivió y encontró sus seguidores, a pesar de la simplicidad del malware y la necesidad por parte del usuario de preocuparse por medios adicionales para ocultar el código malicioso. Los afiliados que utilizan el ransomware Smaug tienen acceso a un panel de control donde pueden rastrear sus campañas y crear cargas útiles para atacar tanto a organizaciones como a individuos. Smaug está escrito en Golang, y los investigadores descubrieron muestras dirigidas a sistemas Windows y Linux y utilizando la clave pública RSA durante el proceso de cifrado. Puede ejecutarse completamente sin conexión sin necesidad de conexión a una red, y sus autores fomentan ataques internos en sistemas que de otro modo no serían tan vulnerables a los ataques de ransomware.

El participante en el programa Threat Bounty, Lee Archinal publicó una regla exclusiva de caza de amenazas que detecta las características del ransomware Smaug: https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Impacto

Técnicas: Datos Cifrados para Impacto (T1486)

 

¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.
Únete gratis Programa una reunión

More Últimas Amenazas Articles

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Zahorulko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Zahorulko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Zahorulko