Contenu de Détection : Ransomware Scarab

Dernières Menaces

mai 28, 2020

2 min de lecture

Contenu de Détection : Ransomware Scarab

Eugene Tkachenko
Eugene Tkachenko Responsable Programme Communautaire linkedin icon Suivre

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Le ransomware Scarab a été repéré pour la première fois en juin 2017 et est réapparu avec de nouvelles versions depuis lors. Ce ransomware est l’une des nombreuses variantes de HiddenTear, un cheval de Troie ransomware open source publié en 2015. 

Les versions de ransomware récemment découvertes utilisent une méthode de chiffrement RSA améliorée et ajoutent diverses extensions aux fichiers infectés. Le ransomware Scarab interfère avec les méthodes de récupération alternatives, supprimant les points de restauration Windows et les copies de volume cachées qui pourraient être utilisées pour restaurer les fichiers affectés dans leur état antérieur. Le déchiffrement sans une clé unique est impossible. Les chercheurs l’ont observé dans plusieurs campagnes : les adversaires envoient des emails de phishing pour propager le logiciel malveillant, dans plusieurs cas, ils ont loué le botnet Necurs à cette fin. 

De multiples variantes du ransomware continuent d’apparaître dans le paysage des menaces. Le dernier a été repéré il y a deux semaines, ajoutant l’extension .cov19 pour les fichiers cryptés. Une nouvelle règle Sigma de chasse aux menaces communautaires par Ariel Millahuel aide à découvrir de nouveaux échantillons de ransomware Scarab au début du processus de cryptage : https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Impact

Techniques : Données cryptées pour l’impact (T1486)

 

Cette semaine, Ariel a publié une autre règle communautaire pour la détection de ransomwares. Elle détecte les caractéristiques de AKO Ransomware, qui est la nouvelle offre de ransomware en tant que service en développement : https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75

 

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko