Regola della Settimana: Rilevamento del Ransomware Nefilim/Nephilim

Questa settimana vogliamo evidenziare la regola Sigma della comunità creata da Emir Erdogan che aiuta a rilevare il ransomware Nefilim/Nephilim utilizzato in attacchi distruttivi. Questa famiglia di ransomware è stata scoperta per la prima volta due mesi fa, e il suo codice si basa sul ransomware NEMTY, emerso l’estate scorsa come programma affiliato pubblico. Sembra che NEMTY si sia diviso in due progetti separati, poiché le sue operazioni RaaS sono diventate private, o i malintenzionati hanno venduto il codice sorgente a un altro gruppo. Il ransomware Nephilim è stato utilizzato in diverse campagne dannose che minacciano di pubblicare i dati rubati alle vittime se queste decidessero di non pagare il riscatto. Gli aggressori compromettono i servizi RDP, stabiliscono la persistenza, raccolgono credenziali aggiuntive per muoversi lateralmente ed esfiltrano dati prima di distribuire i payload di ransomware su tutti i sistemi disponibili. La regola di Emir Erdogan può individuare l’inizio dell’attacco, così sarai in grado di agire prima che tutti i tuoi sistemi siano crittografati: https://tdm.socprime.com/tdm/info/lC8zLKPM5tEv/mCFyDXIBjwDfaYjKjXen/?p=1

Il rilevamento delle minacce è supportato per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, Sumo Logic

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Impatto, Esecuzione, Evasione della difesa

Tecniche: Dati crittografati per l’impatto (1486), Disabilitazione degli strumenti di sicurezza (1089), Inibire il ripristino del sistema (T1490)

Emir Erdogan è un partecipante attivo del SOC Prime Threat Bounty Program. Gli utenti di TDM possono vedere il suo nome nella sezione Top Authors by Downloads nei Leaderboards, nonché visualizzare tutti i contenuti pubblicati dall’autore nel Threat Detection Marketplace.