Contenuto di Rilevazione: Scarab Ransomware

Il ransomware Scarab è stato individuato per la prima volta nel giugno 2017 e da allora è riapparso con nuove versioni. Questo ransomware è uno dei molteplici varianti di HiddenTear, un Trojan ransomware open source rilasciato nel 2015. 

Le versioni recentemente scoperte di ransomware utilizzano un metodo di crittografia RSA migliorato e aggiungono varie estensioni ai file infetti. Il ransomware Scarab interferisce con i metodi di recupero alternativi, eliminando i punti di ripristino di Windows e le Shadow Volume Copies che potrebbero essere utilizzate per ripristinare i file interessati ai loro stati precedenti. La decrittazione senza una chiave unica è impossibile. I ricercatori l’hanno osservato in molteplici campagne: gli avversari inviano email di phishing per diffondere il software dannoso, in diversi casi, hanno affittato Necurs botnet a questo scopo. 

Molte varianti del ransomware continuano ad apparire nel panorama delle minacce. L’ultima è stata individuata due settimane fa aggiungendo l’estensione .cov19 ai file crittografati. La nuova regola Sigma di minaccia comunitaria di Ariel Millahuel aiuta a scoprire nuovi campioni di ransomware Scarab all’inizio del processo di crittografia: https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tattiche: Impatto

Tecniche: Dati Crittografati per Impatto (T1486)

Questa settimana Ariel ha pubblicato un’altra regola di comunità per la rilevazione di ransomware. Rileva le caratteristiche del ransomware AKO, che è la nuova offerta di ransomware-as-a-service in sviluppo: https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75