Contenuto di rilevamento: ransomware WastedLocker

Il nuovo ransomware WastedLocker è stato individuato per la prima volta a maggio 2020. È stato sviluppato dal gruppo di alto profilo Evil Corp, che in precedenza ha utilizzato il trojan Dridex per distribuire il ransomware BitPaymer negli attacchi che prendevano di mira organizzazioni governative e imprese negli Stati Uniti e in Europa. ransomware in attacks targeting government organizations and enterprises in the United States and Europe.

Lo scorso anno, parte degli attaccanti ha lasciato il gruppo e ha iniziato i propri attacchi utilizzando il ransomware DoppelPaymer basato sul codice di BitPaymer. Dopo una breve pausa, gli hacker di Evil Corp hanno continuato i loro attacchi e hanno iniziato a preparare una operazione su larga scala utilizzando la nuova famiglia di ransomware.

WastedLocker e BitPaymer hanno poco in comune. La compromissione iniziale avviene tramite il framework di aggiornamento falso SocGholish che ora viene utilizzato per distribuire direttamente un loader CobaltStrike personalizzato. Successivamente, il framework determina se il sistema infetto fa parte della rete dell’organizzazione, raccoglie ulteriori informazioni sul sistema e le trasmette agli avversari. Una volta entrati nella rete, l’attore della minaccia utilizza vari strumenti come Cobalt Strike, Mimikatz, Empire e PowerSploit per facilitare il movimento laterale all’interno degli ambienti dell’organizzazione presa di mira. Inoltre, Evil Corp utilizza la funzionalità native del sistema operativo (LoLBins) per evitare il rilevamento e operare sotto il radar fino all’inizio della crittografia.

Le nuove regole dei partecipanti al programma Threat Bounty aiutano a rilevare le attività dannose di Evil Corp e la distribuzione del ransomware WastedLocker:

Ricerca del Ransomware WastedLocker (Dumping delle credenziali) by Ariel Millahuel: https://tdm.socprime.com/tdm/info/ohVpL4U6RLYd/Db4eLnMBPeJ4_8xcypLC/?p=1

Ricerca del Ransomware WastedLocker (Accesso iniziale e compromissione) di Ariel Millahuel: https://tdm.socprime.com/tdm/info/cexuKikgrGxH/-ZccLnMBQAH5UgbB-SXj/?p=1

Ricerca del Ransomware WastedLocker (Evasione delle difese) di Ariel Millahuel:
https://tdm.socprime.com/tdm/info/kNavqYGJrev8/yppbM3MBQAH5UgbBHWAp/?p=1

Ricerca del Ransomware WastedLocker (Scoperta) di Ariel Millahuel:
https://tdm.socprime.com/tdm/info/NuV0JT0Mu2xi/AZdZM3MBSh4W_EKG6zKf/?p=1

Wastedlocker una nuova variante di ransomware sviluppata dal gruppo evil corp by Osman Demir: https://tdm.socprime.com/tdm/info/PYGGqXXI8HiF/GIRtFHMBSh4W_EKG3ChF/?p=1

Le regole hanno traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Accesso Iniziale, Esecuzione, Impatto

Tecniche: PowerShell (T1086), Esecuzione di Servizi (T1035), Compromissione Drive-by (T1089), Dati Cifrati per Impatto (T1486)