Contenu de Chasse aux Menaces : Détection du Ransomware Avaddon

[post-views]
juin 18, 2020 · 2 min de lecture
Contenu de Chasse aux Menaces : Détection du Ransomware Avaddon

Un nouvel entrant sur la scène des logiciels de rançon, Avaddon Ransomware est activement diffusé dans des campagnes de spam depuis le début du mois, et les attaquants derrière continuent de recruter des affiliés dans les forums clandestins. Lors de l’une des campagnes détectées campagnes, les cybercriminels ont envoyé plus de 300 000 e-mails malveillants en utilisant Phorphiex/Trik Botnet. Actuellement, Avaddon cible plus les utilisateurs individuels que les organisations, et seul le temps dira comment cette variante de logiciel malveillant évoluera. Aussi, tant qu’il n’y a pas de cas où les attaquants volent des données avant de chiffrer les fichiers, comme le font les groupes plus avancés distribuant Maze ransomware, DoppelPaymer, Ragnar Locker, et d’autres encore.

Les cybercriminels envoient des e-mails malveillants ne contenant qu’un emoji clin d’œil dans le corps de l’e-mail et un fichier JavaScript déguisé en photo JPG en pièce jointe. Pour empêcher un utilisateur inattentif de se douter de quelque chose, les attaquants utilisent des doubles extensions (vous pouvez en lire plus sur cette méthode et la détection des tentatives d’exploitation ici and ici). La pièce jointe malveillante lance à la fois une commande PowerShell et Bitsadmin qui téléchargent l’exécutable du rançongiciel Avaddon et l’exécutent. Cette campagne rappelle le spam ‘Love Letter’ qui avait distribué le rançongiciel Nemty en février dernier, peut-être s’agit-il du même acteur menaçant qui a corrigé les erreurs précédentes et a commencé à utiliser des doubles extensions dans les fichiers malveillants.

Règle de chasse aux menaces soumise par Osman Demir permet aux solutions de sécurité de découvrir le rançongiciel Avaddon lors de son installation et des premières étapes de l’attaque : https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio 

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Impact

Techniques : Données chiffrées pour impact (T1486)

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom 6 min de lecture Dernières Menaces Détection de CVE-2025-8088 : une faille zero-day de WinRAR exploitée dans la nature pour installer le malware RomCom by Daryna Olyniychuk Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow 6 min de lecture Dernières Menaces Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow by Daryna Olyniychuk CVE-2025-8292 : Vulnérabilité Use-After-Free dans Google Chrome entraînant RCE et compromission système 4 min de lecture Dernières Menaces CVE-2025-8292 : Vulnérabilité Use-After-Free dans Google Chrome entraînant RCE et compromission système by Daryna Olyniychuk
Toutes les actualités