Rilevamento del Ransomware Magniber: Gli Attori delle Minacce Diffondono File JavaScript Mirati agli Utenti Windows
Indice:
Durante il 2021-2022, il ransomware continua ad essere una delle tendenze dominanti nel panorama delle minacce informatiche, illustrato dalla crescente sofisticazione delle intrusioni e da un numero in rapida crescita di affiliati al ransomware. I ricercatori di cybersecurity avvertono delle continue campagne malevole, che prendono di mira gli utenti di Windows e distribuiscono il ransomware Magniber mascherato da aggiornamenti software.
Rileva il Ransomware Magniber
Gli attacchi di ransomware Magniber contro gli utenti Windows possono comportare rischi significativi a causa dell’uso di tecniche avversarie per eludere il rilevamento, l’offuscamento e capacità offensive più avanzate che possono indurre una potenziale vittima ad innescare una catena di infezione. Per aiutare i professionisti di cybersecurity a identificare tempestivamente la presenza malevola nel loro ambiente, la piattaforma di SOC Prime cura una nuova regola Sigma per il rilevamento del ransomware Magniber. L’algoritmo di rilevamento creato dal nostro abile sviluppatore del Threat Bounty Program Aykut Gurses rileva l’attività dei file JavaScript che avvia l’infezione da ransomware Magniber. Segui il link qui sotto per approfondire istantaneamente questa regola Sigma e tutto il contesto rilevante, inclusi MITRE ATT&CK® riferimenti, link ai media, intelligence sulle minacce e binari eseguibili:
Questa query di threat hunting basata su Sigma può essere utilizzata su 23 soluzioni SIEM, EDR e XDR e viene testata rispetto al framework MITRE ATT&CK affrontando la tattica di Impatto con le tecniche corrispondenti Data Encrypted for Impact (T1486) e Inhibit System Recovery (T1490).
I Threat Hunters e gli Ingegneri di Rilevamento desiderosi di migliorare e monetizzare le loro competenze Sigma & ATT&CK possono unirsi ai ranghi dello sviluppo crowdsourced e partecipare al nostro Threat Bounty Program. Invia le tue rilevazioni, costruisci il tuo profilo di competenze tecniche e condividi la tua esperienza con i colleghi del settore.
Per difendersi proattivamente contro tutti gli attacchi di ransomware Magniber esistenti ed emergenti, premi il pulsante Esplora Rilevazioni e accedi istantaneamente all’intera collezione di regole Sigma arricchite di contesto rilevante insieme alle loro traduzioni. Nessun vincolo — l’accesso alle rilevazioni e al loro contesto di minacce informatiche è disponibile senza registrazione.
Analisi del Ransomware Magniber: Attacchi Recenti Che Diffondono Infezioni Tramite File JavaScript
Una nuova ondata di attacchi ransomware Magniber causa scompiglio nell’arena delle minacce informatiche. Gli operatori del ransomware Magniber diffondono campioni malevoli tramite file JavaScript che si mascherano da aggiornamenti di sicurezza e che colpiscono le versioni di Windows 10 e 11. Secondo l’ultimo rapporto degli esperti del HP Threat Research , gli aggressori chiedono agli utenti compromessi di pagare un riscatto fino a 2.500 dollari per decrittare e recuperare i loro dati infetti. Notabilmente, in precedenti campagne avversarie, il ransomware Magniber era distribuito tramite file MSI ed EXE, ora passando a tecniche JavaScript tipiche degli attacchi più recenti.
La catena d’infezione di Magniber negli attacchi in corso inizia scaricando archivi ZIP malevoli contenenti JavaScript, che sono mascherati da falsi aggiornamenti software anti-virus di Windows 10. Una volta estratto il file ZIP e scaricato il JavaScript, i dispositivi vulnerabili sono infettati con ceppi di ransomware che criptano i file. I file JavaScript malevoli utilizzati dagli operatori del ransomware Magniber sono offuscati e applicano tecniche sofisticate di elusione del rilevamento, come quella simile a “DotNetToJScript” eseguendo un file .NET nella memoria di sistema e tentando di bypassare il rilevamento da parte del software antivirus. Il file .NET decodifica il codice shell, che rimuove i file di copia shadow dal sistema compromesso e disabilita le capacità di backup e recupero dei dati tramite le utilità di Windows corrispondenti, consentendo agli attori di minaccia di aumentare le loro possibilità di ricevere un riscatto. Per eliminare i file di copia shadow e bloccare le impostazioni di recupero di Windows, Magniber utilizza la funzionalità UAC (User Account Control) di Windows, che consente agli attaccanti di eseguire operazioni con privilegi elevati. Nelle fasi finali del ciclo di vita dell’attacco, il ransomware Magniber cripta i file e lascia note di riscatto rivolte agli utenti compromessi con i dettagli del recupero dei file dopo il pagamento.
Come misure di mitigazione del ransomware Magniber, i difensori informatici raccomandano di utilizzare account amministratore solo per gli utenti domestici in caso di assoluta necessità , di scaricare software e aggiornamenti solo da risorse web legittime e affidabili, e di effettuare backup continui dei dati utente per garantire una corretta protezione del sistema e sicurezza dei dati.
Accesso immediato a oltre 650 uniche regole Sigma per rilevare i ransomware è a pochi clic di distanza! Ottieni oltre 30 regole gratuite o accedi a tutte le rilevazioni con On-Demand su http://my.socprime.com/pricing. Scopri come rilevare il 95% più velocemente dei tuoi colleghi e ottenere immediato valore con On Demand qui.
