Règle de la Semaine : Ransomware Thanos

Aujourd’hui, dans la section Règle de la semaine, nous suggérons de prêter attention à la règle publiée par Emir Erdogan. La nouvelle règle aide à détecter le ransomware Thanos, qui a utilisé la tactique RIPlace pour contourner les solutions anti-ransomware : https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1

Le ransomware Thanos est apparu pour la première fois à la fin de l’année dernière, et ses auteurs l’ont annoncé dans des forums clandestins et des canaux fermés. Il est distribué en tant que Ransomware-as-a-Service, fournissant même aux attaquants non qualifiés un outil personnalisé pour créer des charges utiles uniques. Le ransomware Thanos est plus complexe que de nombreux services de ransomware basés sur un constructeur précédents. Bon nombre des options disponibles dans le créateur Thanos sont conçues pour échapper aux solutions de sécurité. Les fonctionnalités avancées du ransomware incluent également de multiples options de persistance, des données d’assemblage aléatoires, l’évasion Anti-VM / VM, la résiliation de Windows Defender et d’autres produits AV, ainsi que des options de propagation configurables. Récemment, les auteurs du ransomware ont ajouté l’utilisation de RIPlace pour éviter la détection. Thanos est la première famille de ransomwares à utiliser la tactique RIPlace. Il s’agit d’une technique de système de fichiers Windows, qui peut être utilisée pour altérer malicieusement des fichiers permettant au ransomware d’éviter la détection.

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK :

Tactiques : Impact, Évasion de défense, Découverte

Techniques : Données chiffrées pour l’impact (T1486), Désactivation des outils de sécurité (T1089), Découverte de logiciels de sécurité (T1063), Découverte de logiciels (T1518)