Rilevamento del Ransomware Phobos: Contenuti SOC contro gli Attacchi EKING
Indice:
Phobos Ransomware rappresenta una famiglia di ransomware relativamente nuova basata su Dharma (CrySis) che è noto sin dal 2016. Le prime tracce di Phobos sono state individuate meno di due anni fa, a cavallo del 2019. SOC Prime Threat Detection Marketplace, la più grande piattaforma al mondo di contenuti SOC, offre scenari di rilevamento per il ransomware Phobos all’interno della sua biblioteca di oltre 85.000 contenuti. La variante EKING del ransomware Phobos è emersa recentemente nell’ottobre 2020 ed è stata applicata in attacchi mirati a organizzazioni governative. EKING è un malware che codifica i file, mirato a criptare i dati cruciali archiviati sul dispositivo compromesso e a eliminare le copie di backup. Decifrare i dati infettati è una sfida ardua per le organizzazioni, poiché solo gli sviluppatori di EKING possiedono gli strumenti di crittografia validi, per i quali richiedono un riscatto.
Cos’è Phobos Ransomware?
Il malware appartenente alla famiglia Phobos Ransomware si diffonde attraverso connessioni RDP compromesse. Phobos viene solitamente distribuito compromettendo i server RDP, infiltrandosi nella rete di un’organizzazione e infettando il maggior numero possibile di sistemi per ottenere un grande riscatto per la decrittazione dei dati compromessi. Tuttavia, molte vittime che hanno pagato somme significative ai criminali informatici per la decrittazione non l’hanno mai ricevuta.
Forse questa è una delle ragioni per cui EKING era sotto i riflettori nell’ottobre 2020. Ci sono diversi casi confermati in cui gli avversari diffondevano EKING tramite e-mail di phishing. Questa variante del ransomware Phobos è apparsa sotto forma di documento MS Word con un codice Macro malevolo destinato a diffondere EKING attraverso le reti delle organizzazioni.
Come Entra Phobos Ransomware nel Tuo Computer?
Una nuova analisi di EKING da FortiGuard Labs rivela come un binario malevolo entri nel sistema dopo che una vittima apre un documento MS Word allegato a un’e-mail di phishing. Il ransomware non solo cripta i file sulla macchina infetta, ma prende di mira anche nuove unità logiche collegate e risorse di condivisione di rete. Per accelerare il processo di crittografia, EKING crea due thread di scansione per ciascuna unità logica: uno di questi trova e cripta file correlati ai database. Il malware rinomina i file e poi genera messaggi di riscatto. Questi messaggi spingono gli utenti compromessi a mettersi in contatto con gli avversari ed aspettarsi ulteriori istruzioni da loro.
Contenuti di Rilevamento Phobos Ransomware
Uno dei contributori più attivi alla biblioteca di contenuti del Threat Detection Marketplace e sviluppatore del Threat Bounty Program, Emir Erdogan, ha recentemente rilasciato una nuova regola Sigma della comunità per aiutare le organizzazioni a proteggersi dagli attacchi ransomware EKING:
La regola ha traduzioni per i seguenti strumenti SIEM, EDR e altri strumenti di sicurezza:
- SIEMs: Azure Sentinel, Sumo Logic, Humio, Elastic Stack, ArcSight, QRadar, Splunk, Graylog, RSA NetWitness, LogPoint
- EDRs: Carbon Black
- Chronicle Security
- Apache Kafka ksqIDB
- Microsoft PowerShell
- Regex Grep
Il supporto per altre tecnologie SIEM, EDR e NTDR è in arrivo.
La regola pubblicata è inoltre mappata al quadro ATT&CK di MITRE® e affronta le seguenti tattiche e tecniche ATT&CK:
- Tattiche: Impatto, Esecuzione
- Tecniche: Dati criptati per l’impatto (T1486), Esecuzione utente (1204)
Pronti a rafforzare la vostra difesa informatica con Threat Detection Marketplace? Iscriviti gratis. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti SOC e condividerli con l’intera comunità del Threat Detection Marketplace.
