Contenu de Détection : Comportement de Ransom X

Dernières Menaces

juillet 02, 2020

2 min de lecture

Contenu de Détection : Comportement de Ransom X

Eugene Tkachenko
Eugene Tkachenko Responsable Programme Communautaire linkedin icon Suivre

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Une autre famille de ransomwares est apparue ce printemps et est activement utilisée dans des attaques ciblées contre des entreprises et des agences gouvernementales. À la mi-mai, des cybercriminels ont attaqué le réseau du ministère des Transports du Texas, mais l’accès non autorisé a été découvert, et par conséquent, seule une partie des systèmes a été chiffrée. Dans cette attaque, un nouveau ransomware a été utilisé – Ransom X, qui se distingue parmi ses « parents ». Ransom X est un ransomware opéré manuellement qui ouvre une console après l’exécution affichant des informations aux adversaires pendant qu’il fonctionne. Il termine 289 processus liés aux outils d’accès à distance, aux MSP et aux logiciels de sécurité, aux bases de données et aux serveurs de messagerie. Il exécute également une série de commandes pour vider les journaux d’événements Windows, supprimer les journaux NTFS, désactiver la restauration du système, désactiver l’environnement de récupération Windows, supprimer les catalogues de sauvegarde Windows et effacer l’espace libre des disques locaux. De plus, cette souche de ransomware n’encrypte pas plusieurs dossiers très spécifiques, et les chercheurs pensent que dans ces dossiers, les cybercriminels stockent leurs outils utilisés pour infecter d’autres systèmes dans l’organisation. Il est actuellement inconnu si les criminels volent des données avant de chiffrer les fichiers, ou utilisent même le chiffrement pour masquer leur activité malveillante.

Le ransomware Ransom X peut être détecté en utilisant Ariel Millahuelrègle de chasse aux menaces communautaire disponible sur Threat Detection Marketplace : https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1

 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Exécution, Persistance, Escalade de Privilèges

Techniques : Tâche Planifiée (T1053)

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko