Quantum Ransomware Attack Detection: Malware Deployed at Lightning Speed
Indice:
Il ransomware Quantum è stato sotto i riflettori dalla fine dell’estate 2021, essendo coinvolto in intrusioni ad alta velocità e dinamicamente crescenti che hanno lasciato ai difensori cibernetici solo una breve finestra per rilevare e mitigare tempestivamente le minacce. Secondo il ricerca sulla sicurezza informatica DFIR, l’ultimo attacco di ransomware Quantum osservato si classifica come uno dei casi più veloci, avendo impiegato meno di 4 ore per distribuire il ransomware dopo aver compromesso l’ambiente target.
Rileva il Ransomware Quantum: Regole Sigma
Per rivelare proattivamente gli attacchi noti di Quantum contro il tuo ambiente organizzativo, puoi sfruttare un set di regole Sigma curate fornite dai nostri abili sviluppatori di Threat Bounty Emir Erdogan and Nattatorn Chuensangarun.
Quantum Ransomware Utilizza Cobalt Strike Beacon (via pipe_event)
Rilevamento Comportamento Sospetto di Quantum Ransomware (via process_creation)
Possibile Esecuzione di Quantum Ransomware con Payload IcedID (via file_event)
Possibile Quantum Ransomware utilizza PsExec e WMI per Eseguire il Ransomware (via process_creation)
Considerando che l’ultima routine di Quantum presuppone l’utilizzo di campioni IcedID per avviare la catena di infezioni, ti incoraggiamo a controllare i contenuti di rilevazione mirati a identificare attacchi correlati a IcedID. L’elenco completo delle regole Sigma rilevanti può essere accesso sulla piattaforma SOC Prime tramite il seguente link.Â
Per tracciare gli aggiornamenti delle regole Sigma e accedere al batch completo di rilevamenti per il ransomware Quantum, premi il Visualizza Rilevamenti pulsante qui sotto. Vuoi aiutare la comunità della sicurezza informatica a resistere ai terribili attacchi cibernetici e arricchire la libreria di contenuti con il tuo contenuto basato su Sigma? Unisciti al nostro programma Threat Bounty e ricevi ricompense ricorrenti per il tuo contributo.
Visualizza Rilevamenti Unisciti a Threat Bounty
Analisi degli Attacchi del Ransomware Quantum
L’ultimo attacco presenta un tempo record per il riscatto complessivo che copre meno di 4 ore. L’attacco ransomware è iniziato con il dispiegamento del payload IceID sull’istanza target distribuita tramite un’email di phishing. In particolare, gli operatori di ransomware hanno nascosto l’IcedID all’interno del file ISO dannoso per bypassare le protezioni di sicurezza delle email e garantire un’infezione riuscita. Dopo poche ore dalla fase iniziale dell’attacco, gli avversari hanno avviato l’attività manuale dalla tastiera facendo cadere malware Cobalt Strike utilizzato per l’accesso remoto e il furto di informazioni. Per stabilire la propagazione laterale senza problemi, gli attori della minaccia hanno scaricato le credenziali del Dominio Windows con l’aiuto di LSASS creando connessioni RDP ai server accessibili nella rete. Infine, gli hacker hanno spinto il payload Quantum utilizzando le utility WMI e PsExec per crittografare le risorse di interesse.
Chi è Quantum Locker?
Quantum Ransomware (alias Quantum Locker) è un successore del RaaS MountLocker inizialmente rivelato alla fine del 2020. Da allora, gli operatori hanno frequentemente cambiato il loro prodotto dannoso sotto titoli come AstroLocker o XingLocker. Nell’estate 2021, il campione Quantum Locker ha iniziato a fare il giro del web. Secondo rapporti, le richieste di riscatto per la decrittazione variano significativamente, oscillando tra i $150,000 fino ai pagamenti di $3-4 milioni. Inoltre, gli avversari applicano un approccio di doppia estorsione per aggiungere ulteriore pressione sulle vittime di Quantum Locker.
Per rafforzare le capacità di difesa cyber proattive, le organizzazioni progressive si affidano a un approccio collaborativo alla difesa cyber. Unisciti alla piattaforma Detection as Code di SOC Prime per tenere costantemente il passo con il crescente volume di attacchi e affrontare le ultime minacce in meno di 24 ore.
