Détection du ransomware Yashma : la dernière variante du Chaos Builder
Table des matières :
Le générateur d’interface graphique utilisateur (GUI) Chaos est sur le marché depuis moins d’un an, permettant aux adversaires de créer de nouvelles souches de ransomware. Une nouvelle variante de ransomware surnommée Yashma est sa 6e version, disponible depuis mai 2022. Yashma est la version la plus aboutie de ce générateur de ransomware GUI, connu pour sa flexibilité et son amélioration continue observée à chaque itération.
Détecter le ransomware Yashma
Pour détecter l’activité suspecte associée au ransomware Yashma, les nouveaux utilisateurs et les utilisateurs existants de la plateforme de détection en tant que code de SOC Prime peuvent télécharger une règle Sigma dédiée créée par notre développeur Threat Bounty, Onur Atali:
Persistance suspecte du ransomware Yashma par l’ajout d’une clé Run au registre (via registry_event)
The Voir les détections le bouton vous mènera au référentiel de contenu de détection associé aux attaques, utilisant d’autres variantes du ransomware Chaos. Les adeptes de la cybersécurité sont plus que bienvenus pour rejoindre le programme Threat Bounty pour publier du contenu SOC sur la plateforme leader de l’industrie et être récompensés pour leurs contributions précieuses.
Voir les détections Rejoindre Threat Bounty
Analyse du ransomware Yashma
The L’équipe de recherche et d’intelligence de BlackBerry a publié une analyse approfondie de la ligne de ransomware Chaos. Chaos est un générateur basé sur GUI pour les ransomwares qui est sur le marché noir depuis l’été dernier. À l’origine, ce générateur de ransomware a été publié sous le nom Ryuk .NET Builder, annoncé comme une version .NET de Ryuk, plus tard rebaptisé et réapparaissant dans sa 2e version sous un nouveau nom, Chaos, avec 11 mois séparant l’original et la dernière variante. Selon le renseignement actuel, Chaos est connu pour soutenir la Russie dans l’agression militaire et cybernétique en cours du pays contre l’Ukraine. Différentes variantes de Chaos ont été repérées massivement utilisées dans la nature, avec plusieurs opérateurs derrière les attaques. Les adversaires ciblent principalement des entités dans les industries médicale, agricole, financière, du bâtiment et des services d’urgence situées aux États-Unis.
Different variants of Chaos have been spotted massively used in the wild, with multiple operators behind the attacks. Adversaries mainly target entities in medical, agriculture, financial, building industries, and emergency services providers located in the U.S.
La première variante de Chaos publiée agissait plus comme un cheval de Troie que comme un ransomware. À chaque nouvelle version, les opérateurs de Chaos ont rééquipé leur produit pour fonctionner comme un ransomware classique, encryptant les fichiers de la victime, laissant une note de ransomware et exigeant le paiement en Bitcoins. La version Yashma a acquis de nouvelles fonctionnalités lui permettant de tuer différents services sur un appareil compromis, tels que les logiciels antivirus et de sauvegarde.
Les failles de sécurité sont désormais le principal problème affectant tous les utilisateurs et organisations. Dans cet environnement, il est sage de saisir l’opportunité d’améliorer votre routine de défense et de détection. Pour augmenter votre chasse aux menaces proactive et rétrospective, visitez la plateforme SOC Prime.
