Regola della Settimana: Thanos Ransomware

Oggi nella sezione Regola della Settimana, suggeriamo di prestare attenzione alla regola pubblicata da Emir Erdogan. La nuova regola aiuta a rilevare il ransomware Thanos, che ha armato la tattica RIPlace per bypassare le soluzioni anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1

Il ransomware Thanos è apparso per la prima volta alla fine dello scorso anno e i suoi autori lo hanno pubblicizzato in forum sotterranei e canali chiusi. Viene distribuito come Ransomware-as-a-Service che fornisce anche ad attaccanti inesperti uno strumento personalizzato per creare payload unici. Il ransomware Thanos è più complesso di molti servizi ransomware basati su builder precedenti. Molte delle opzioni disponibili nel costruttore Thanos sono progettate per eludere le soluzioni di sicurezza. Le funzionalità avanzate del ransomware includono anche opzioni di persistenza multiple, dati di assemblaggio casualizzati, Anti-VM / evasione VM, terminazione di Windows Defender e altri prodotti AV e opzioni di diffusione configurabili. Recentemente, gli autori del ransomware hanno aggiunto l’uso di RIPlace per evitare il rilevamento. Thanos è la prima famiglia di ransomware che utilizza la tattica RIPlace. Questa è una tecnica del file system di Windows, che può essere utilizzata per alterare file in modo dannoso permettendo al ransomware di evitare il rilevamento.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Impatto, Evasione della difesa, Scoperta

Tecniche: Dati Cifrati per Impatto (T1486), Disabilitazione degli Strumenti di Sicurezza (T1089), Scoperta Software di Sicurezza (T1063), Scoperta Software (T1518)