Détection du Ransomware Magniber : Les Acteurs Malveillants Diffusent des Fichiers JavaScript Ciblant les Utilisateurs Windows
Table des matières :
Tout au long de 2021-2022, les ransomwares continuent d’être l’une des tendances dominantes dans le paysage des menaces cybernétiques, illustrée par la sophistication croissante des intrusions et un nombre rapidement croissant de partenaires de ransomware. Les chercheurs en cybersécurité mettent en garde contre les campagnes malveillantes en cours, qui ciblent les utilisateurs de Windows et distribuent le ransomware Magniber déguisé en mises à jour de logiciels.
Détecter le ransomware Magniber
Les attaques de ransomware Magniber contre les utilisateurs de Windows peuvent poser des risques significatifs en raison de l’utilisation de techniques adverses pour contourner la détection, l’obfuscation, et des capacités offensives plus avancées qui peuvent inciter une victime potentielle à déclencher une chaîne d’infection. Pour aider les professionnels de la cybersécurité à identifier en temps opportun la présence malveillante dans leur environnement, la plateforme de SOC Prime propose une nouvelle règle Sigma pour la détection du ransomware Magniber. L’algorithme de détection conçu par notre développeur avisé du programme Threat Bounty Aykut Gurses détecte l’activité des fichiers JavaScript qui initie l’infection par le ransomware Magniber. Suivez le lien ci-dessous pour accéder instantanément à cette règle Sigma et tout le contexte pertinent, y compris MITRE ATT&CK® références, liens médias, renseignements sur les menaces et exécutables binaires :
Cette requête de chasse aux menaces basée sur Sigma peut être utilisée sur 23 solutions SIEM, EDR et XDR et est évaluée par rapport au cadre MITRE ATT&CK traitant de la tactique d’Impact avec les techniques correspondantes de Données chiffrées pour l’Impact (T1486) et Inhiber la récupération du système (T1490).
Les chasseurs de menaces et les ingénieurs de détection désireux d’affiner et de monétiser leurs compétences Sigma & ATT&CK peuvent rejoindre les rangs du développement participatif et prendre part à notre Programme Threat Bounty. Soumettez vos propres détections, développez votre profil de compétences techniques, et partagez votre expertise avec vos pairs de l’industrie.
Pour se défendre proactivement contre toutes les attaques existantes et émergentes de ransomware Magniber, appuyez sur le bouton Explore Detections et accédez instantanément à l’ensemble de la collection de règles Sigma enrichies en contexte pertinent ainsi que leurs traductions. Aucun engagement — l’accès aux détections et à leur contexte de menace cybernétique est disponible sans enregistrement.
Analyse du ransomware Magniber : attaques récentes répandant l’infection via des fichiers JavaScript
Une nouvelle vague d’attaques de ransomware Magniber provoque une agitation dans le domaine des menaces cybernétiques. Les opérateurs de ransomware Magniber diffusent des échantillons malveillants via des fichiers JavaScript se faisant passer pour des mises à jour de sécurité et affectant les versions Windows 10 et 11. Selon le dernier rapport des experts de HP Threat Research , les attaquants exigent des utilisateurs compromis de payer une rançon pouvant atteindre 2 500 $ pour déchiffrer et récupérer leurs données infectées. Notamment, lors de campagnes ennemies précédentes, le ransomware Magniber était livré via des fichiers MSI et EXE, maintenant il passe à des techniques JavaScript typiques des attaques les plus récentes.
La chaîne d’infection de Magniber dans les attaques en cours commence par le téléchargement d’archives ZIP malveillantes contenant des fichiers JavaScript, qui sont déguisées en fausses mises à jour antivirus de Windows 10. Une fois le fichier ZIP extrait et les fichiers JavaScript téléchargés, les appareils vulnérables sont infectés par des souches de ransomware à chiffrement de fichiers. Les fichiers JavaScript malveillants utilisés par les opérateurs de ransomware Magniber sont obfusqués et appliquent des techniques sophistiquées d’évasion de détection, comme celle similaire au « DotNetToJScript » en exécutant un fichier .NET dans la mémoire du système et en tentant de contourner la détection par les logiciels antivirus. Le fichier .NET décode le shellcode, qui supprime les fichiers de copie d’ombre du système compromis et désactive les capacités de sauvegarde et de récupération des données via les utilitaires Windows correspondants, permettant ainsi aux acteurs malveillants d’augmenter leurs chances de recevoir une rançon. Pour supprimer les fichiers de copie d’ombre et bloquer les paramètres de récupération Windows, Magniber utilise la fonctionnalité UAC (User Account Control) de Windows, qui permet aux attaquants d’exécuter des opérations avec des privilèges élevés. Aux dernières étapes du cycle de vie de l’attaque, le ransomware Magniber chiffre les fichiers et dépose des notes de rançon adressant les utilisateurs compromis avec les détails de la récupération des fichiers après le paiement.
En tant que mesures de mitigation du ransomware Magniber, les cyberdéfenseurs recommandent de n’utiliser des comptes administrateur pour les utilisateurs à domicile qu’en cas de nécessité absolue, de télécharger des logiciels et leurs mises à jour uniquement à partir de ressources web légitimes et de confiance, et de sauvegarder en continu les données des utilisateurs pour assurer une protection adéquate du système et la sécurité des données.
L’accès immédiat à plus de 650 règles Sigma uniques pour détecter les ransomwares n’est qu’à quelques clics! Obtenez plus de 30 règles gratuitement ou accédez à toutes les détections avec On-Demand à is just a few clicks away! Get 30+ rules for free or reach all detections with On-Demand at http://my.socprime.com/pricing. Apprenez-en plus sur comment détecter 95% plus rapidement que vos pairs et obtenir une valeur immédiate avec On Demand ici.
