Règle de la Semaine : Détection du Ransomware Nefilim/Nephilim

Cette semaine, nous voulons mettre en lumière la règle Sigma communautaire d’Emir Erdogan qui aide à détecter le ransomware Nefilim/Nephilim utilisé dans les attaques destructrices. Cette famille de ransomware a été découverte il y a deux mois, et son code est basé sur le ransomware NEMTY qui est apparu l’été dernier comme un programme d’affiliation public. Il semble que NEMTY se soit scindé en deux projets distincts, car ses opérations RaaS sont devenues privées, ou que les adversaires ont vendu le code source à un autre groupe. Le ransomware Nephilim a été utilisé dans de nombreuses campagnes dommageables qui menaçaient de publier les données volées des victimes si celles-ci décidaient de ne pas payer une rançon. Les attaquants compromettent les services RDP, établissent une persistance, collectent des identifiants supplémentaires pour se déplacer latéralement et exfiltrent des données avant de livrer les charges utiles des ransomware à tous les systèmes disponibles. La règle d’Emir Erdogan peut repérer le début de l’attaque, vous permettant d’agir avant que tous vos systèmes ne soient chiffrés : https://tdm.socprime.com/tdm/info/lC8zLKPM5tEv/mCFyDXIBjwDfaYjKjXen/?p=1

La détection des menaces est supportée pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, Sumo Logic

EDR : Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Impact, Exécution, Evasion de la défense

Techniques : Données chiffrées pour impact (1486), Désactivation des outils de sécurité (1089), Inhibition de la récupération du système (T1490)

Emir Erdogan est un participant actif du programme SOC Prime Threat Bounty Program. Les utilisateurs de TDM peuvent voir son nom dans la section Top Authors by Downloads sur les classements, ainsi que consulter tout le contenu publié par l’auteur sur le Threat Detection Marketplace.