Rilevamento del Ransomware LockBit: La Gang di Cybercriminali Evil Corp Affiliate, alias UNC2165, Tenta di Eludere le Sanzioni USA
Indice:
A dicembre 2019, il Dipartimento del Tesoro degli Stati Uniti, Ufficio per il Controllo dei Beni Stranieri (OFAC), ha sanzionato la banda di cybercriminali legata alla Russia tracciata come Evil Corp (alias Dridex, INDRIK SPIDER) che è stata responsabile dell’implementazione e distribuzione del famigerato malware Dridex mirando banche e istituzioni finanziarie per quasi un decennio. Nel tentativo di eludere le sanzioni, gli attori della minaccia cercavano modi per passare a operazioni ransomware più sofisticate sviluppando e applicando nuovi campioni di malware, tra cui WasterLocker and ransomware Hades, quest’ultimo arricchito con un insieme di miglioramenti di offuscamento del codice.
Secondo l’ultima ricerca di Mandiant, un gruppo di minacce finanziarie motivato chiamato UNC2165, precedentemente osservato nell’erogazione del malware Hades e anche collegato alle intrusioni ransomware LockBit, può essere affiliato con gli attori di Evil Corp basati su sovrapposizioni e modelli di comportamento simile degli avversari. Pertanto, l’attività dannosa del gruppo UNC2165 può essere considerata un altro passo nell’evoluzione delle operazioni affiliate a Evil Corp.
Rileva l’attività di Evil Corp affiliata a UNC2165
L’evoluzione degli attacchi ransomware rappresenta una seria minaccia per le organizzazioni globali, pertanto la loro tempestiva rilevazione sembra un aspetto significativo quando si costruisce una strategia di cybersecurity efficiente. Per rilevare l’attività dannosa degli affiliati di Evil Corp noti per evolvere costantemente il loro toolkit avversario, esplora un insieme dedicato di regole Sigma dalla piattaforma Detection as Code di SOC Prime:
Regole Sigma per rilevare l’attività affiliata a Evil Corp tracciata anche come UNC2165
Tutte le rilevazioni sono applicabili a soluzioni SIEM, EDR e XDR di livello industriale supportate dalla piattaforma di SOC Prime e sono allineate al framework MITRE ATT&CK® garantendo una visibilità completa sulle minacce rilevanti.
I professionisti della sicurezza delle informazioni che cercano di essere completamente attrezzati con capacità di rilevazione e caccia delle minacce potenziate sono spinti a esplorare l’intera collezione di regole Sigma disponibili nella piattaforma di SOC Prime e adattate alle esigenze di sicurezza personalizzate. Per esplorare l’elenco completo del contenuto SOC per rilevare il ransomware LockBit e cercare immediatamente minacce rilevanti, clicca sul pulsante Rileva e Caccia . Per esplorare istantaneamente il riferimento MITRE ATT&CK, CTI pertinente e ulteriori metadati per un’indagine approfondita della minaccia, sfoglia il motore di ricerca di SOC Prime per il rilevamento delle minacce, la caccia alle minacce e CTI cliccando sul pulsante Esplora il contesto della minaccia .
Rileva & Caccia Esplora il contesto della minaccia
UNC2165 distribuisce il ransomware LockBit: nuovi vettori di attacco
Secondo l’approfondita inchiesta di Mandiant, il collettivo hacker tracciato come UNC2165 sta utilizzando sempre di più il ransomware LockBit per guadagni finanziari. Gli esperti di sicurezza sottolineano che UNC2165 ha sovrapposizioni significative con gli attori di Evil Corp, presumibilmente essendo la nuova incarnazione del collettivo che cambia il suo set di strumenti ancora una volta per evitare le sanzioni degli Stati Uniti.
Dopo essere stato sanzionato nel 2019 per le campagne del malware Dridex, il gruppo Evil Corp ha modificato più volte il set di strumenti per proseguire con operazioni finanziariamente motivate. In precedenza, il gruppo aveva un approccio unico per penetrare nelle reti mirate tramite la catena di infezioni “FakeUpdates”, distribuendo varianti personalizzate di WastedLocker e Hades. Tuttavia, recentemente Evil Corp è stato osservato fare affidamento sempre più su LockBit ransomware-as-a-service (RaaS) invece di campioni di ransomware esclusivi. Il motivo di ciò è sfuggire alle sanzioni OFAC nascondendosi tra altri affiliati di LockBit RaaS e utilizzando l’infrastruttura LockBit per operazioni anonime.
Esperti di Mandiant hanno analizzato la nuova kill chain concludendo che gli attori UNC2165 aderiscono ai FakeUpdates per l’intrusione iniziale. In particolare, gli hacker utilizzano i loader DONUT e COLOFAKE per distribuire Cobalt Strike Beacon e ottenere un punto d’appoggio nella rete. Inoltre, sono sfruttati attacchi Mimikatz e Kerebroasting per l’escalation dei privilegi, mentre un set di utilità native di Microsoft Windows (whoami, nltest, cmdkey, and net) vengono utilizzati per la ricognizione interna. Dopo che i dati sensibili nell’ambiente sono stati accessi ed esfiltrati dagli hacker, UNC2165 rilascia i payload LockBit per crittografare le risorse mirate.
Potenzia le capacità di rilevamento delle minacce e accelera la velocità di ricerca delle minacce accedendo al set di strumenti SOC team più completo disponibile tramite la piattaforma Detection as Code di SOC Prime! Iscriviti ora gratuitamente e accedi istantaneamente alla più grande libreria di contenuti di rilevamento insieme a strumenti avanzati per aumentare l’efficacia delle tue operazioni di cybersecurity.
