Contenu de Détection : Ransomware Scarab

Le ransomware Scarab a été repéré pour la première fois en juin 2017 et est réapparu avec de nouvelles versions depuis lors. Ce ransomware est l’une des nombreuses variantes de HiddenTear, un cheval de Troie ransomware open source publié en 2015. 

Les versions de ransomware récemment découvertes utilisent une méthode de chiffrement RSA améliorée et ajoutent diverses extensions aux fichiers infectés. Le ransomware Scarab interfère avec les méthodes de récupération alternatives, supprimant les points de restauration Windows et les copies de volume cachées qui pourraient être utilisées pour restaurer les fichiers affectés dans leur état antérieur. Le déchiffrement sans une clé unique est impossible. Les chercheurs l’ont observé dans plusieurs campagnes : les adversaires envoient des emails de phishing pour propager le logiciel malveillant, dans plusieurs cas, ils ont loué le botnet Necurs à cette fin. 

De multiples variantes du ransomware continuent d’apparaître dans le paysage des menaces. Le dernier a été repéré il y a deux semaines, ajoutant l’extension .cov19 pour les fichiers cryptés. Une nouvelle règle Sigma de chasse aux menaces communautaires par Ariel Millahuel aide à découvrir de nouveaux échantillons de ransomware Scarab au début du processus de cryptage : https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Impact

Techniques : Données cryptées pour l’impact (T1486)

Cette semaine, Ariel a publié une autre règle communautaire pour la détection de ransomwares. Elle détecte les caractéristiques de AKO Ransomware, qui est la nouvelle offre de ransomware en tant que service en développement : https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75