Contenu de Détection : Ransomware WastedLocker

[post-views]
juillet 08, 2020 · 3 min de lecture
Contenu de Détection : Ransomware WastedLocker

Le nouveau ransomware WastedLocker a été repéré pour la première fois en mai 2020. Il a été développé par le groupe de grande envergure Evil Corp, qui utilisait auparavant le cheval de Troie Dridex pour déployer le ransomware BitPaymer dans des attaques ciblant des organisations gouvernementales et des entreprises aux États-Unis et en Europe.

L’année dernière, une partie des attaquants a quitté le groupe et a commencé ses propres attaques en utilisant le ransomware DoppelPaymer basé sur le code de BitPaymer. Après une courte pause, les hackers d’Evil Corp ont repris leurs attaques et ont commencé à préparer une opération à grande échelle en utilisant la nouvelle famille de ransomwares.

WastedLocker et BitPaymer ont peu en commun. Le compromis initial se fait via le cadre de fausse mise à jour SocGholish qui est maintenant utilisé pour distribuer directement un chargeur CobaltStrike personnalisé. Ensuite, le cadre détermine si le système infecté fait partie du réseau de l’organisation, collecte des informations supplémentaires sur le système et les transmet aux adversaires. Après être entré dans le réseau, l’acteur de la menace utilise divers ensembles d’outils tels que Cobalt Strike, Mimikatz, Empire et PowerSploit pour faciliter le mouvement latéral à travers les environnements de l’organisation ciblée. De plus, Evil Corp utilise la fonctionnalité native du système d’exploitation (LoLBins) pour échapper à la détection et opérer sous le radar jusqu’au début du chiffrement.

De nouvelles règles des participants au programme Threat Bounty aident à détecter l’activité malveillante d’Evil Corp et le déploiement de WastedLocker :

Chasse au ransomware WastedLocker (Vol de crédentiels) by Ariel Millahuel: https://tdm.socprime.com/tdm/info/ohVpL4U6RLYd/Db4eLnMBPeJ4_8xcypLC/?p=1

Chasse au ransomware WastedLocker (Accès initial et compromis) par Ariel Millahuel : https://tdm.socprime.com/tdm/info/cexuKikgrGxH/-ZccLnMBQAH5UgbB-SXj/?p=1

Chasse au ransomware WastedLocker (Évasion de la défense) par Ariel Millahuel :
https://tdm.socprime.com/tdm/info/kNavqYGJrev8/yppbM3MBQAH5UgbBHWAp/?p=1

Chasse au ransomware WastedLocker (Découverte) par Ariel Millahuel :
https://tdm.socprime.com/tdm/info/NuV0JT0Mu2xi/AZdZM3MBSh4W_EKG6zKf/?p=1

Wastedlocker, une nouvelle variante de ransomware développée par le groupe Evil Corp by Osman Demir: https://tdm.socprime.com/tdm/info/PYGGqXXI8HiF/GIRtFHMBSh4W_EKG3ChF/?p=1

Les règles ont des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR : Windows Defender ATP, Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Accès initial, Exécution, Impact

Techniques : PowerShell (T1086), Exécution de service (T1035), Compromission par déroulé (T1089), Données chiffrées pour l’impact (T1486)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Tactique d’Exécution | TA0002
Blog, Dernières Menaces — 7 min de lecture
Tactique d’Exécution | TA0002
Daryna Olyniychuk
PyVil RAT par le groupe Evilnum
Blog, Dernières Menaces — 2 min de lecture
PyVil RAT par le groupe Evilnum
Eugene Tkachenko
JSOutProx RAT
Blog, Dernières Menaces — 3 min de lecture
JSOutProx RAT
Eugene Tkachenko