Détecteur de Ransomware Smaug (Comportement Sysmon)

Dernières Menaces

septembre 11, 2020

2 min de lecture

Détecteur de Ransomware Smaug (Comportement Sysmon)

Eugene Tkachenko
Eugene Tkachenko Responsable Programme Communautaire linkedin icon Suivre

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Abonnez-vous au Résumé Hebdomadaire

Exclusif pour les utilisateurs de SOC Prime

Newsletter Icon

Aujourd’hui, nous souhaitons attirer votre attention sur une menace relativement récente et le contenu pour sa détection. Le Smaug Ransomware-as-a-Service est apparu sur les radars des chercheurs fin avril 2020, les attaquants recherchent des affiliés exclusivement sur les forums du Dark Web russophone et proposent d’utiliser leur plateforme contre un paiement initial assez élevé et 20 % des bénéfices ultérieurs. Pour attirer les hackers chevronnés, les auteurs de malwares ont suggéré sur certains forums de ne pas payer d’acompte si les cybercriminels peuvent prouver leurs succès passés.

Comme vous pouvez le deviner, le projet a survécu et trouvé ses adeptes, malgré la simplicité du malware et le besoin pour l’utilisateur de se préoccuper de moyens supplémentaires pour cacher le code malveillant. Les affiliés qui utilisent le ransomware Smaug ont accès à un tableau de bord où ils peuvent suivre leurs campagnes et créer des charges utiles pour attaquer autant les organisations que les individus. Smaug est écrit en Golang, et les chercheurs ont découvert des échantillons ciblant à la fois les systèmes Windows et Linux et utilisant une clé publique RSA pendant le processus de chiffrement. Il peut fonctionner complètement hors ligne sans nécessiter de connexion réseau, et ses auteurs encouragent les attaques internes sur des systèmes qui ne seraient autrement pas si vulnérables aux attaques par ransomware.

Le participant au programme Threat Bounty, Lee Archinal a publié une règle exclusive de chasse aux menaces qui détecte les caractéristiques du ransomware Smaug : https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Impact

Techniques : Données chiffrées pour impact (T1486)

 

Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoignez le programme Threat Bounty pour créer votre propre contenu et le partager avec la communauté TDM.

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.
Rejoindre gratuitement Planifier une réunion

More Dernières Menaces Articles

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Zahorulko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Zahorulko Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants 5 min de lecture Dernières Menaces Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants by Veronika Zahorulko