Detección de YourCyanide: Nueva Variante de Ransomware Auto-Propagante
Tabla de contenidos:
Una nueva variante de ransomware sigue los pasos del ransomware GonnaCope, la primera cepa en la familia de ransomware basado en CMD que apareció por primera vez en abril de 2022. Otras muestras similares que se subieron a VirusTotal en mayo de 2022 son conocidas como Kekpop y Kekware.
Se le ha llamado YourCyanide al nuevo jugador emergente, que presumiblemente tiene todo lo necesario para convertirse en la próxima gran amenaza. Los datos recuperados de los ataques muestran que la cepa de ransomware aún no cifra ningún archivo; todo el daño documentado es que los renombra, causando una gran inconveniencia a los usuarios afectados. La variante difícil de detectar abusa de enlaces de Microsoft, PasteBin y Discord para soltar la carga maliciosa y propagarse.
Los investigadores han encontrado que la última variante de la familia de ransomware basado en CMD puede robar información del usuario y evadir la detección aprovechando sus múltiples capas de ofuscación.
Detectar YourCyanide
The Sigma rules a continuación, lanzadas por nuestros perspicaces desarrolladores de Threat Bounty Aytek Aytemur and Osman Demir, permiten la detección sin esfuerzo de los últimos ataques que involucran el ransomware YourCyanide:
Ejecución sospechosa de YourCyanide por detección de comandos asociados (via cmdline)
Las reglas están alineadas con el último marco MITRE ATT&CK® v.10. abordando las tácticas de Impacto y Ejecución con las técnicas de Datos Cifrados para Impacto (T1486) y Comando e Intérprete de Secuencias de Comandos (T1059).
Regístrese en la plataforma SOC Prime para aumentar su velocidad de caza de amenazas con más de 185,000 algoritmos de detección que se integran con su solución SIEM, EDR y XDR. Para acceder a la exhaustiva biblioteca de reglas Sigma para detectar amenazas de ransomware cibernético, haga clic en el Detectar y Cazar botón a continuación.
Para obtener mejor visibilidad de las amenazas que pasan por su red, navegue por un paisaje de amenazas en constante cambio con una solución novedosa de SOC Prime: el Cyber Threat Search Engine. El motor de búsqueda está disponible de forma gratuita y no requiere registro. Pruebe pulsando el Explorar Contexto de Amenaza botón.
Detectar y Cazar Explorar Contexto de Amenaza
Análisis de YourCyanide
Según los datos disponibles, la variante desciende del ransomware GonnaCope, que fue el primero en la serie de cepas de ransomware basado en CMD, ahora bajo la estrecha observación de investigadores en seguridad. El ransomware YourCyanide fue analizado a fondo por el equipo de Trend Micro de caza de amenazas. Los usuarios dentro de una red comprometida recibieron una nota indicando que su sistema fue vulnerado y la advertencia siguió, indicando que «Kekware y Kekpop (dos variantes previas) fueron solo el comienzo».
Los datos de investigación muestran que las cepas de esta familia de ransomware todavía están en su fase de desarrollo, por lo que los analistas no están seguros de qué esperar cuando evolucionen y alcancen su máximo potencial.
La variante YourCyanide también habilita el robo de credenciales, comprometiendo varias aplicaciones como Chrome, Discord y Microsoft Edge.
Los expertos en ciberseguridad son más que bienvenidos a unirse al Programa de Recompensas de Amenazas para publicar contenido SOC en la plataforma líder de la industria y ser recompensados por su valioso aporte. Aproveche la oportunidad para llevar su rutina de defensa y detección al siguiente nivel!
