Infezione Ransomware Genshin Impact: Gli Avversari Abusano del Driver Anti-Cheat

Genshin Impact, un popolare RPG d’azione open-world, è utilizzato per diffondere ransomware. Gli attori delle minacce abusano di mhyprot2.sys, un driver anti-cheat vulnerabile, per terminare processi e servizi antivirus e distribuire ransomware. Utilizzando il driver legittimo come rootkit, gli avversari cercano prima di installare il ransomware sulla macchina bersaglio con l’intenzione di diffondere successivamente l’infezione ad altre postazioni di lavoro.

Rilevamento di exploit ransomwares

Per identificare i comportamenti associati all’abuso del driver mhyprot2.sys vulnerabile di Genshin Impact, utilizza i seguenti contenuti di rilevamento delle minacce rilasciati da esperti collaboratori del Threat Bounty Kaan Yeniyol and Aykut Gürses:

Rilevamento dell’attività del driver anti-cheat di Genshin Impact nel contesto del ransomware

The Regole basate su Sigma sono riferite al quadro MITRE ATT&CK® v.10, e possono essere applicate a 26 soluzioni SIEM, EDR e XDR supportate dalla piattaforma di SOC Prime.

Il Threat Detection Marketplace ospita oltre 130.000 contenuti di rilevamento verificati, inclusi rilevamenti, avvisi, query di caccia e playbook. Circa 140 nuovi rilevamenti vengono aggiunti ogni mese. Fai clic sul pulsante Detect & Hunt per accedere ai contenuti di rilevamento di alta qualità dedicati a identificare possibili exploit ransomwares. Per informazioni contestuali approfondite, fai clic sul pulsante Explore Threat Context , ed esamina l’elenco delle regole Sigma pertinenti accompagnate da metadati completi — nessuna registrazione richiesta.

Detect & Hunt Explore Threat Context

L’analisi degli incidenti

La divulgazione da parte dei ricercatori di Trend Micro dettaglia un recente abuso del gioco di ruolo Genshin Impact da parte di attori ransomware. Secondo i dati di ricerca, gli attori delle minacce sfruttano un driver firmato nel codice, vulnerabile e responsabile delle funzioni anti-cheat per il gioco. Abusando di mhyprot2.sys, un driver all’interno del sistema anti-cheat del gioco, gli attori del ransomware possono aggirare i privilegi di sistema e terminare i processi di protezione endpoint eseguendo comandi a livello di kernel.

È stato anche rivelato che questa vulnerabilità è presente da circa due anni e rimane ancora non risolta.

A luglio, abbiamo introdotto alcuni miglioramenti significativi al Programma di Threat Bounty di SOC Prime. Scopri di più sul programma per sviluppatori di contenuti di rilevamento più prolifici nel mondo informatico e assicurati il tuo posto tra i leader del settore con SOC Prime.