Rilevamento del Ransomware Redeemer: Nuova Versione Distribuita sui Forum Sotterranei

[post-views]
Agosto 24, 2022 · 4 min di lettura
Rilevamento del Ransomware Redeemer: Nuova Versione Distribuita sui Forum Sotterranei

L’autore del creatore del ransomware Redeemer ha dato una nuova svolta al software del malware, distribuendo la sua nuova versione nei forum di cybercriminalità. La versione ransomware Redeemer 2.0 è scritta in C++ ed è progettata per infettare i dispositivi Windows OS. La prima versione di Redeemer è stata rilasciata nell’estate del 2021, seguita dalla sua variante aggiornata pubblicata il mese scorso.

Gli hacker criminali possono utilizzare Redeemer gratuitamente; tuttavia, l’attore della minaccia soprannominato Cerebrate, che afferma di essere lo sviluppatore dietro il progetto, chiede il 20% del riscatto, pagato in criptovaluta Monero.

L’autore del ransomware sostiene che questa versione sia più difficile da rilevare, dotata di un algoritmo di crittografia avanzato e di nuove funzionalità come un’interfaccia utente migliorata e la capacità di preservare il sistema della vittima da ulteriori danni oltre alla crittografia dei file.

Rilevare il Ransomware Redeemer

Il mercato del ransomware sta attraversando un’era di crescita radicale, con il suo costo per le aziende in tutto il mondo che solo nell’ultimo anno ha raggiunto un record di 20 miliardi di dollari in danni. Per combattere gli attacchi estorsivi supportati dalla crittografia con maggiore efficienza e velocità, utilizzate regole basate su Sigma disponibili sulla piattaforma di rilevamento delle minacce di SOC Prime. La più recente regola per rilevare i comportamenti del Ransomware Redeemer v. 2.0 utilizzando i log di creazione dei processi è fornita dal Threat Bounty Program membro Emir Erdogan:

Rilevamento del Ransomware Redeemer (tramite creazione di processi)

Per assicurarsi che nulla venga trascurato nella ricerca di possibili violazioni della sicurezza, utilizzare un’altra regola pertinente, rilasciata dal nostro sviluppatore di alto livello Osman Demir:

Attività Ransomware Redeemer sospetta aggiungendo una voce di registro (tramite evento di registro)

Entrambe le regole si allineano con il framework MITRE ATT&CK® v.10. I professionisti della sicurezza possono facilmente passare tra più formati SIEM, EDR e XDR per ottenere il codice sorgente della regola applicabile a oltre 25 soluzioni di sicurezza.

The Rilevare & Cacciare il pulsante vi porterà a un vasto repository di algoritmi di rilevamento associati agli attacchi ransomware. La libreria di SOC Prime è costantemente aggiornata con nuovi contenuti, potenziata dall’approccio collaborativo alla difesa informatica e abilitata dal modello Follow the Sun (FTS) per garantire la consegna tempestiva delle rilevazioni per le minacce critiche in risposta al massiccio boom del numero di occorrenze di ransomware. Fare clic sul pulsante Esplora contesto delle minacce per accedere alle regole Sigma relative al ransomware Redeemer utilizzando il motore di ricerca di SOC Prime – il tuo punto di riferimento unico per la Caccia alle Minacce, il Rilevamento delle Minacce e tutto il contesto pertinente.

Rilevare & Cacciare Esplora contesto delle minacce

Analisi del Ransomware Redeemer

L’ultima variante del ransomware Redeemer è stata rilasciata a luglio 2022, emergendo nei forum underground. La variante è commercializzata per attrarre principalmente attori di minacce di base offrendo capacità migliorate di offuscamento.

Gli esperti di sicurezza di Cyble hanno riferito che la nuova variante introduce una serie di funzionalità, come il supporto per Windows 11, un toolkit affiliato con GUI, Chat XMPP/Chat Tox/fino a due email, ecc. security experts reported that the new variant introduces a number of the following features, such as support for Windows 11, an affiliate toolkit with GUI, XMPP Chat/Tox Chat/up to two emails, etc.

Il creatore di Redeemer controlla i dati di reddito di ciascun affiliato assegnando ID tracciabili. Prima della crittografia, la variante del ransomware utilizza i comandi di Windows per cancellare i log degli eventi e le copie di backup, rendendo le possibilità della vittima di recuperare i propri dati quasi nulle.

Il messaggio promozionale di Cerebrate dichiara la promessa di rilasciare il codice sorgente di Redeemer nel caso in cui l’autore ‘perda interesse’ nel portare avanti il progetto.

Le infezioni da ransomware sono dilaganti in diversi settori, causando gravi interruzioni nelle operazioni e danni finanziari e reputazionali significativi. Unisciti a SOC Prime per sfruttare i benefici della difesa informatica collaborativa e restare aggiornati sulle ultime scoperte dell’intelligence delle minacce informatiche e sulle soluzioni leader nel settore.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento del Ransomware Interlock: Allerta Congiunta di FBI e CISA sugli Attacchi su Larga Scala tramite ClickFix 4 min di lettura Ultime Minacce Rilevamento del Ransomware Interlock: Allerta Congiunta di FBI e CISA sugli Attacchi su Larga Scala tramite ClickFix by Veronika Telychko Rilevamento ransomware Interlock: distribuita nuova variante RAT basata su PHP tramite FileFix 5 min di lettura Ultime Minacce Rilevamento ransomware Interlock: distribuita nuova variante RAT basata su PHP tramite FileFix by Veronika Telychko Individuazione del Ransomware BERT: Attacchi in Asia, Europa e USA su Sistemi Windows e Linux 6 min di lettura Ultime Minacce Individuazione del Ransomware BERT: Attacchi in Asia, Europa e USA su Sistemi Windows e Linux by Veronika Telychko
Tutte le notizie