Détection de YourCyanide : Nouvelle Variante de Ransomware Auto-Propagateur
Table des matières :
Une nouvelle variante de ransomware suit les traces du ransomware GonnaCope, la première souche de la famille des ransomwares basés sur CMD apparue pour la première fois en avril 2022. D’autres échantillons similaires téléchargés sur VirusTotal en mai 2022 sont connus sous le nom de Kekpop et Kekware.
Le nouvel acteur en pleine ascension, surnommé YourCyanide, semble posséder tout ce qu’il faut pour devenir la prochaine grande menace. Les données récupérées des attaques montrent que la souche de ransomware n’a pas encore chiffré de fichiers ; tous les dommages documentés sont qu’il les renomme, causant ainsi un grave désagrément aux utilisateurs concernés. La variante difficile à détecter abuse des liens Microsoft, de PasteBin et de Discord pour déposer la charge utile malveillante et se propager.
Les chercheurs ont découvert que la dernière variante de la famille des ransomwares basés sur CMD peut subtiliser des informations utilisateur et échapper à la détection en tirant parti de ses multiples couches d’obfuscation.
Détecter YourCyanide
The Règles Sigma ci-dessous, publiées par nos développeurs perspicaces de Threat Bounty Aytek Aytemur and Osman Demir, permettent une détection sans effort des dernières attaques impliquant le ransomware YourCyanide :
Exécution suspecte de YourCyanide par détection de commandes associées (via cmdline)
Les règles sont alignées avec le dernier cadre MITRE ATT&CK® v.10, s’attaquant aux tactiques d’Impact et d’Exécution avec les techniques de Données Chiffrées pour Impact (T1486) et d’Interpréteur de Commande et de Script (T1059).
Inscrivez-vous à la Plateforme SOC Prime pour améliorer la vitesse de votre chasse aux menaces avec plus de 185 000 algorithmes de détection qui s’intègrent à votre solution SIEM, EDR et XDR. Pour accéder à la bibliothèque exhaustive de règles Sigma pour détecter les menaces de ransomware cybernétique, cliquez sur le Détecter & Traquer bouton ci-dessous.
Pour obtenir une meilleure visibilité des menaces traversant votre réseau, naviguez dans un paysage de menaces en constante évolution avec une solution innovante de SOC Prime – le Moteur de Recherche de Menaces Cyber. Le moteur de recherche est disponible gratuitement et ne nécessite pas d’enregistrement. Essayez-le en cliquant sur le Explorer le Contexte de la Menace bouton.
Détecter & Traquer Explorer le Contexte de la Menace
Analyse de YourCyanide
Selon les données disponibles, la variante descend du ransomware GonnaCope, qui a été le premier de la série de souches de ransomware basées sur CMD, désormais sous l’observation étroite des chercheurs en sécurité. Le ransomware YourCyanide a été minutieusement analysé par l’équipe de chasse aux menaces de Trend Micro . Les utilisateurs au sein d’un réseau compromis ont reçu une note indiquant que leur système avait été violé, suivie d’un avertissement indiquant que « Kekware et Kekpop (deux variantes précédentes) n’étaient que le début ».
Les données de recherche montrent que les souches de cette famille de ransomwares sont encore en phase de développement, donc les analystes ne sont pas sûrs de ce à quoi s’attendre lorsqu’elles évolueront et atteindront leur plein potentiel.
La variante YourCyanide permet également le vol d’identifiants, compromettant un certain nombre d’applications telles que Chrome, Discord et Microsoft Edge.
Les experts en cybersécurité sont plus que bienvenus pour rejoindre le Programme de Récompense des Menaces pour publier du contenu SOC sur la plateforme leader de l’industrie et être récompensés pour leurs précieuses contributions. Saisissez l’occasion de perfectionner votre routine de défense et de détection !
