Contenu de Détection : Comportement de Ransom X

Une autre famille de ransomwares est apparue ce printemps et est activement utilisée dans des attaques ciblées contre des entreprises et des agences gouvernementales. À la mi-mai, des cybercriminels ont attaqué le réseau du ministère des Transports du Texas, mais l’accès non autorisé a été découvert, et par conséquent, seule une partie des systèmes a été chiffrée. Dans cette attaque, un nouveau ransomware a été utilisé – Ransom X, qui se distingue parmi ses « parents ». Ransom X est un ransomware opéré manuellement qui ouvre une console après l’exécution affichant des informations aux adversaires pendant qu’il fonctionne. Il termine 289 processus liés aux outils d’accès à distance, aux MSP et aux logiciels de sécurité, aux bases de données et aux serveurs de messagerie. Il exécute également une série de commandes pour vider les journaux d’événements Windows, supprimer les journaux NTFS, désactiver la restauration du système, désactiver l’environnement de récupération Windows, supprimer les catalogues de sauvegarde Windows et effacer l’espace libre des disques locaux. De plus, cette souche de ransomware n’encrypte pas plusieurs dossiers très spécifiques, et les chercheurs pensent que dans ces dossiers, les cybercriminels stockent leurs outils utilisés pour infecter d’autres systèmes dans l’organisation. Il est actuellement inconnu si les criminels volent des données avant de chiffrer les fichiers, ou utilisent même le chiffrement pour masquer leur activité malveillante.

Le ransomware Ransom X peut être détecté en utilisant Ariel Millahuelrègle de chasse aux menaces communautaire disponible sur Threat Detection Marketplace : https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Exécution, Persistance, Escalade de Privilèges

Techniques : Tâche Planifiée (T1053)