Détection du rançongiciel SolidBit : une nouvelle variante cible les utilisateurs de jeux vidéo populaires et de plateformes de réseaux sociaux

Les attaques par ransomware sont devenues une tendance en constante croissance dans le domaine des cybermenaces depuis 2020, et continuent d’augmenter en 2021-2022. Les chercheurs en cybersécurité ont récemment découvert une nouvelle variante du ransomware SolidBit, qui cible les joueurs et les utilisateurs de réseaux sociaux. Cette nouvelle souche de malware est repérée dans la nature, étant téléchargée sur GitHub et déguisée en applications populaires pour attirer les victimes potentielles à les exécuter. Une fois lancés, les fichiers appât exécutent du code PowerShell malveillant qui déploie le ransomware sur les dispositifs ciblés.

Détecter la nouvelle variante du ransomware SolidBit

Avec l’augmentation des volumes d’attaques de ransomware sophistiquées et l’élargissement des activités de ransomware-as-a-service (RaaS), les défenseurs du cyberespace recherchent des moyens innovants pour renforcer la posture de cybersécurité de leur organisation. La plate-forme Detection as Code de SOC Prime a récemment publié un ensemble de règles Sigma pour détecter le ransomware SolidBit créées par nos développeurs du programme Threat Bounty Program, Furkan Celik and Osman Demir. Les utilisateurs enregistrés de SOC Prime peuvent accéder aux requêtes de chasse aux menaces dédiées en suivant le lien ci-dessous :

Règles Sigma pour détecter le ransomware SolidBit

Les deux détections sont compatibles avec les solutions SIEM, EDR et XDR leaders du secteur prises en charge par la plate-forme de SOC Prime et sont alignées avec le cadre MITRE ATT&CK abordant la tactique ‘Impact’ avec la technique Data Encrypted for Impact (T1486) correspondante. De plus, la règle Sigma dédiée par Furkan Celik aborde également la tactique ATT&CK ‘Execution’, représentée par la technique User Execution (T1204).

Les praticiens aguerris en cybersécurité qui cherchent à enrichir leurs compétences en ingénierie de détection et en chasse aux menaces peuvent rejoindre les rangs de notre programme Threat Bounty pour apporter leur propre contribution à l’expertise collective de l’industrie. La participation au programme permet aux auteurs de contenu de détection de monétiser leurs compétences professionnelles tout en contribuant à un avenir numérique plus sûr.

Pour rester au courant de l’évolution rapide des attaques par ransomware, les équipes de sécurité peuvent tirer parti de l’ensemble de la collection de règles Sigma pertinentes disponibles sur la plate-forme de SOC Prime en cliquant sur le bouton Détecter et Chasser ci-dessous. Pour une enquête sur les menaces simplifiée, les utilisateurs non enregistrés de SOC Prime peuvent également bénéficier de notre moteur de recherche Threats et explorer les informations contextuelles complètes liées aux ransomwares, y compris les références MITRE ATT&CK et CTI, ainsi que d’autres métadonnées pertinentes, en cliquant sur Explorer le Contexte des Menaces bouton ci-dessous.

bouton Détecter et Chasser Explorer le Contexte des Menaces

Description de SolidBit

Le ransomware SolidBit, un acteur relativement nouveau dans le domaine des cybermenaces, est un descendant du ransomware Yashma/Chaos. Les chercheurs en sécurité pensent que les mainteneurs de SolidBit travaillent en étroite collaboration avec les développeurs de Yashma pour améliorer certaines fonctionnalités du Chaos builder avant de se rendre sur le marché clandestin, le nommant SolidBit.

La modification la plus récente, promue en tant que variante SolidBit 3.0, est compilée avec .NET, et selon l’ enquête par Trend Micro, utilise une chaîne de destruction d’attaque inhabituelle pour atteindre des infections massives. Notamment, les opérateurs du ransomware SolidBit ont poussé la charge utile malveillante sur GitHub, masquant la menace dans des outils de jeu et des bots de réseaux sociaux.

La dernière campagne propage un faux outil de vérification de compte League of Legends et de bot de followers Instagram. Si une victime télécharge l’application depuis GitHub et l’exécute, l’application malveillante exécute rapidement un code PowerShell qui finit par déposer la charge utile SolidBit. Avant l’encryptage, le ransomware applique un ensemble de techniques de débogage et d’obfuscation, en terminant les services et en supprimant les copies de l’ombre pour passer sous le radar.

Outre les améliorations de la fonctionnalité principale, les mainteneurs de SolidBit s’efforcent d’étendre leur réseau malveillant en appliquant le modèle RaaS. Notamment, le 30 juin 2022, des chercheurs en sécurité ont repéré des annonces d’emploi sur les forums clandestins pour engager de nouveaux affiliés RaaS de SolidBit.

Les nouvelles tactiques pointent vers la sophistication croissante de la souche SolidBit, qui est une tendance courante dans le domaine des ransomwares. À mesure que les attaques augmentent en portée et en échelle, les chercheurs en sécurité ont besoin d’outils innovants pour détecter les menaces émergentes et garder une longueur d’avance sur les attaquants. Rejoignez la plate-forme Detection as Code de SOC Prime pour suivre les dernières attaques avec la plus grande collection mondiale de règles Sigma, améliorer la couverture des sources de logs et de MITRE ATT&CK, et contribuer activement à renforcer les capacités de défense cybernétique de votre organisation. Les hunters de menaces et ingénieurs de détection chevronnés sont les bienvenus pour rejoindre programme Threat Bounty – l’initiative de crowdsourcing de SOC Prime, pour partager leurs algorithmes de détection avec la communauté de la cybersécurité, contribuer à la défense cybernétique collaborative, et gagner des paiements répétés pour leur contribution.