Contenuto di Rilevamento: Comportamento di Ransom X

Un’altra famiglia di ransomware è apparsa questa primavera ed è utilizzata attivamente in attacchi mirati contro imprese e agenzie governative. A metà maggio, i criminali informatici hanno attaccato la rete del Dipartimento dei Trasporti del Texas, ma l’accesso non autorizzato è stato scoperto e, di conseguenza, solo parte dei sistemi è stata criptata. In questo attacco è stato utilizzato un nuovo ransomware – Ransom X, che si distingue tra i suoi “parenti”. Ransom X è un ransomware operato da umani che apre una console dopo l’esecuzione che visualizza informazioni agli avversari mentre è in funzione. Termina 289 processi relativi a strumenti di accesso remoto, MSP e software di sicurezza, database e server di posta. Inoltre esegue una serie di comandi per cancellare i log degli eventi di Windows, eliminare i journal NTFS, disabilitare il Ripristino configurazione di sistema, disabilitare l’Ambiente di Ripristino di Windows, eliminare i cataloghi di backup di Windows e cancellare lo spazio libero dai drive locali. Inoltre, questo ceppo di ransomware non cripta diverse cartelle molto specifiche e i ricercatori credono che in quelle cartelle i criminali informatici conservino i loro strumenti utilizzati per infettare altri sistemi nell’organizzazione. Attualmente non è noto se i criminali rubino dati prima di criptare i file, o addirittura usino la crittografia per nascondere la loro attività malevola.

Il ransomware Ransom X può essere rilevato utilizzando Ariel Millahuella regola di ricerca delle minacce della community disponibile su Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione, Persistenza, Escalation dei Privilegi

Tecniche: Attività Programmata (T1053)