Détecteur de Ransomware Smaug (Comportement Sysmon)

Aujourd’hui, nous souhaitons attirer votre attention sur une menace relativement récente et le contenu pour sa détection. Le Smaug Ransomware-as-a-Service est apparu sur les radars des chercheurs fin avril 2020, les attaquants recherchent des affiliés exclusivement sur les forums du Dark Web russophone et proposent d’utiliser leur plateforme contre un paiement initial assez élevé et 20 % des bénéfices ultérieurs. Pour attirer les hackers chevronnés, les auteurs de malwares ont suggéré sur certains forums de ne pas payer d’acompte si les cybercriminels peuvent prouver leurs succès passés.

Comme vous pouvez le deviner, le projet a survécu et trouvé ses adeptes, malgré la simplicité du malware et le besoin pour l’utilisateur de se préoccuper de moyens supplémentaires pour cacher le code malveillant. Les affiliés qui utilisent le ransomware Smaug ont accès à un tableau de bord où ils peuvent suivre leurs campagnes et créer des charges utiles pour attaquer autant les organisations que les individus. Smaug est écrit en Golang, et les chercheurs ont découvert des échantillons ciblant à la fois les systèmes Windows et Linux et utilisant une clé publique RSA pendant le processus de chiffrement. Il peut fonctionner complètement hors ligne sans nécessiter de connexion réseau, et ses auteurs encouragent les attaques internes sur des systèmes qui ne seraient autrement pas si vulnérables aux attaques par ransomware.

Le participant au programme Threat Bounty, Lee Archinal a publié une règle exclusive de chasse aux menaces qui détecte les caractéristiques du ransomware Smaug : https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Impact

Techniques : Données chiffrées pour impact (T1486)

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.