Rilevamento FONIX Ransomware come Servizio
Indice:
Un’altra piattaforma Ransomware as a Service si prepara a giocare una partita ad alto rischio con le organizzazioni. I ricercatori di Sentinel Labs hanno scoperto i primi attacchi utilizzando la piattaforma FONIX circa tre mesi fa. Ora, questa piattaforma RaaS è ancora in fase di sviluppo attivo, ma i loro primi clienti stanno già provando le loro capacità. Finora, FONIX è piuttosto scomodo da usare, il suo processo di crittografia è piuttosto lento, ma il ransomware è poco rilevato dalla maggior parte delle soluzioni di sicurezza. E l’ultima qualità può superare i principali svantaggi. Inoltre, ottenere un campione malevolo e usarlo durante un attacco è completamente gratuito: gli autori di FONIX riceveranno il 25% dell’importo del riscatto successivamente.
Ransomware FONIX lento ma efficiente
La lentezza della crittografia è dovuta al fatto che durante un attacco non vengono crittografati determinati tipi di file, ma in generale tutto tranne i file di sistema critici. Un altro fattore che rallenta l’attacco è l’utilizzo di un mix di protocolli di crittografia (Chacha, AES, Salsa20 e AES) durante il processo di crittografia. Forse questo approccio mostra l’inesperienza degli autori in quest’area, che sacrificano la velocità per la garanzia dell’impossibilità per le vittime di decrittografare i dati da sole. I ricercatori presumono che gli avversari siano stati coinvolti nello sviluppo di cryptor binari.
Comunicazioni via email ed esfiltrazione di file
A differenza della maggior parte delle piattaforme RaaS, FONIX non dispone di una dashboard per monitorare e gestire le campagne malevole. Al contrario, i suoi autori stanno lavorando su servizi email per anonimizzare le comunicazioni con le vittime (forse anche per tracciare l’attività degli affiliati). Ma per ora, gli affiliati sono costretti a utilizzare servizi email di terze parti per le comunicazioni, mettendosi a rischio. Per testare la decrittazione dei file e ottenere un decryptor dopo aver ricevuto il riscatto, i cybercriminali sono costretti a rivolgersi agli autori del ransomware, il che comporta anche ulteriori rischi.
È notevole che durante gli attacchi rilevati, gli affiliati non abbiano rubato i dati in modo che la minaccia di divulgazione costringesse la vittima a pagare un riscatto. Ma questo indica piuttosto l’inesperienza degli attaccanti, e i cybercriminali esperti potrebbero benissimo esfiltrare informazioni sensibili prima di crittografare i sistemi.
Finora, non ci sono stati attacchi di alto profilo utilizzando questo ransomware, e affinché non accadano mai, Osman Demir ha sviluppato la regola di caccia alle minacce della comunità per rilevarlo: https://tdm.socprime.com/tdm/info/YYuWsuf9iDSA/CEPBDHUBR-lx4sDxrTcs/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Elastic Endpoint
MITRE ATT&CK:
Tattiche: Impatto, Persistenza
Tecniche: Dati Cifrati per Impatto (T1486), Chiavi di Registro all’Avvio / Cartella di Avvio (T1060)
Pronto a provare il SOC Prime Threat Detection Marketplace? Iscriviti gratuitamente. Oppure unisciti al Programma Threat Bounty per creare il tuo contenuto e condividerlo con la comunità del Threat Detection Marketplace.
