Nous pensons qu’aujourd’hui, nous attribuons à juste titre le titre de Règle de la Semaine à la règle Sigma exclusive développée par Osman Demir pour permettre la détection du ransomware VHD : https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1
Les premières attaques utilisant cette souche de ransomware ont commencé en mars 2020, et ce n’est que récemment que les chercheurs ont lié elles au groupe APT Lazarus. Cela a été facilité par la détection dans certaines attaques de l’utilisation du framework multiplateforme MATA, qui est exclusivement utilisé par ce célèbre acteur de menace nord-coréen ; les règles pour détecter le framework ont été publiées plus tôt cette semaine.
Dans certaines attaques, les adversaires ont utilisé un utilitaire de propagation qui diffusait le ransomware à l’intérieur du réseau. L’utilitaire est créé après une reconnaissance détaillée et la collecte d’identifiants administratifs et d’adresses IP qui sont utilisées pour une attaque par force brute du service SMB sur chaque machine découverte.
Le groupe Lazarus est probablement le seul acteur de menace soutenu par l’État qui s’occupe de cybercriminalité à but lucratif. Dans des attaques récentes, le groupe a exploité une passerelle VPN vulnérable, obtenu des privilèges administratifs, déployé une porte dérobée sur le système compromis, et a pu prendre le contrôle du serveur Active Directory. Fait intéressant, avant le début des attaques du ransomware VHD, le groupe Lazarus a été vu en train d’utiliser le malware TrickBot pour accéder aux réseaux des victimes.
La règle a des traductions pour les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR : Carbon Black, Elastic Endpoint
MITRE ATT&CK :
Tactiques : Impact
Techniques : Données chiffrées pour impact (T1486)
Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le Threat Bounty Program pour créer votre propre contenu et le partager avec la communauté TDM.
