Détection d’Attaque par Ransomware Quantum : Malware Déployé à une Vitesse Fulgurante
Table des matières :
Le ransomware Quantum est sous le feu des projecteurs depuis la fin de l’été 2021, impliqué dans des intrusions à grande vitesse et dynamiquement croissantes, laissant aux défenseurs cyber un court délai pour détecter et atténuer les menaces à temps. Selon la recherche en cybersécurité DFIR, la dernière attaque de ransomware Quantum observée est classée parmi les plus rapides, prenant moins de 4 heures pour déployer le ransomware après avoir compromis l’environnement ciblé.
Détecter le Ransomware Quantum : Règles Sigma
Pour révéler de manière proactive les attaques notoires de Quantum contre votre environnement organisationnel, vous pouvez exploiter un ensemble de règles Sigma soignées fournies par nos développeurs avertis de Threat Bounty Emir Erdogan and Nattatorn Chuensangarun.
Le Ransomware Quantum utilise la balise Cobalt Strike (via pipe_event)
Détection Comportement Suspect de Quantum Ransomware (via process_creation)
Possible Persistance de Quantum Ransomware par Tâches Planifiées Créées (via process_creation)
Exécution Possible de Quantum Ransomware avec une Charge Utile IcedID (via file_event)
Dans une perspective où la dernière routine Quantum présume l’utilisation d’échantillons IcedID pour déclencher la chaîne d’infection, nous vous encourageons à vérifier le contenu de détection visant à identifier les attaques liées à IcedID. La liste complète des règles Sigma pertinentes est accessible sur la plateforme SOC Prime via le lien suivant.
Pour suivre les mises à jour des règles Sigma et accéder à l’ensemble complet des détections pour le ransomware Quantum, cliquez sur le Voir les Détections bouton ci-dessous. Vous êtes désireux d’aider la communauté de la cybersécurité à résister aux attaques cybernétiques néfastes et d’enrichir la bibliothèque de contenu avec votre propre contenu basé sur Sigma ? Rejoignez notre programme Threat Bounty et recevez des récompenses récurrentes pour votre contribution.
Voir les Détections Rejoindre Threat Bounty
Analyse de l’Attaque de Ransomware Quantum
La dernière attaque montre le temps record jusqu’au déploiement du rançongiciel global en moins de 4 heures. L’attaque par ransomware a commencé par le déploiement de la charge utile IceID sur l’instance ciblée distribuée via un email de phishing. Plus précisément, les opérateurs de ransomware ont caché l’IcedID dans le fichier ISO malveillant pour passer les protections de sécurité des emails et assurer une infection réussie. En quelques heures après l’étape initiale de l’attaque, les adversaires ont déclenché l’activité mains sur le clavier, déposant le malware Cobalt Strike utilisé pour l’accès à distance et le vol d’informations. Pour établir une propagation latérale sans accroc, les acteurs de la menace ont vidé les identifiants du domaine Windows avec l’aide de LSASS en créant des connexions RDP vers des serveurs accessibles dans le réseau. Enfin, les pirates ont poussé la charge utile Quantum en utilisant les utilitaires WMI et PsExec pour chiffrer les actifs d’intérêt.
Qui Est Quantum Locker ?
Quantum Ransomware (également connu sous le nom de Quantum Locker) est un successeur du RaaS MountLocker initialement révélé fin 2020. Depuis lors, les opérateurs ont fréquemment changé leur produit malveillant sous des titres tels que AstroLocker ou XingLocker. En été 2021, l’échantillon Quantum Locker a commencé à faire le tour du web. Selon les rapports, les demandes de rançon pour décryptage varient considérablement, allant de 150 000 $ à 3-4 millions de paiements. De plus, les adversaires appliquent l’approche de double extorsion pour ajouter encore plus de pression sur les victimes de Quantum Locker.
Pour renforcer les capacités de défense cyber proactive, les organisations progressistes comptent sur une approche collaborative de la défense cyber. Rejoignez la plateforme Detection as Code de SOC Prime pour rester constamment à jour avec le volume croissant des attaques et répondre aux menaces les plus récentes en moins de 24 heures.
