Règle de la Semaine : Détection de rançongiciel VHD

Dernières Menaces

juillet 31, 2020

2 min de lecture

Règle de la Semaine : Détection de rançongiciel VHD

Eugene Tkachenko
Eugene Tkachenko Responsable Programme Communautaire linkedin icon Suivre

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Nous pensons qu’aujourd’hui, nous attribuons à juste titre le titre de Règle de la Semaine à la règle Sigma exclusive développée par Osman Demir pour permettre la détection du ransomware VHD : https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 

Les premières attaques utilisant cette souche de ransomware ont commencé en mars 2020, et ce n’est que récemment que les chercheurs ont lié elles au groupe APT Lazarus. Cela a été facilité par la détection dans certaines attaques de l’utilisation du framework multiplateforme MATA, qui est exclusivement utilisé par ce célèbre acteur de menace nord-coréen ; les règles pour détecter le framework ont été publiées plus tôt cette semaine.

Dans certaines attaques, les adversaires ont utilisé un utilitaire de propagation qui diffusait le ransomware à l’intérieur du réseau. L’utilitaire est créé après une reconnaissance détaillée et la collecte d’identifiants administratifs et d’adresses IP qui sont utilisées pour une attaque par force brute du service SMB sur chaque machine découverte.

Le groupe Lazarus est probablement le seul acteur de menace soutenu par l’État qui s’occupe de cybercriminalité à but lucratif. Dans des attaques récentes, le groupe a exploité une passerelle VPN vulnérable, obtenu des privilèges administratifs, déployé une porte dérobée sur le système compromis, et a pu prendre le contrôle du serveur Active Directory. Fait intéressant, avant le début des attaques du ransomware VHD, le groupe Lazarus a été vu en train d’utiliser le malware TrickBot pour accéder aux réseaux des victimes.

 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

 

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Impact

Techniques : Données chiffrées pour impact (T1486)


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko