Regola della Settimana: Rilevamento di Ransomware VHD

Crediamo che oggi meritatamente conferiamo il titolo di Regola della Settimana all’esclusiva regola Sigma sviluppata da Osman Demir per abilitare il rilevamento del ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 

I primi attacchi che utilizzavano questa variante di ransomware sono iniziati a marzo 2020, e solo di recente i ricercatori hanno collegato loro al Lazarus APT. Ciò è stato facilitato dal rilevamento in alcuni attacchi dell’uso del framework multipiattaforma MATA, esclusivamente utilizzato da questo noto attore di minacce nordcoreano; le regole per rilevare il framework sono state pubblicate all’inizio di questa settimana.

In alcuni attacchi, gli avversari hanno utilizzato un’utilità di diffusione che ha propagato il ransomware all’interno della rete. L’utilità viene creata dopo un dettagliato riconoscimento e raccolta di credenziali amministrative e indirizzi IP che vengono utilizzati per forzare il servizio SMB su ogni macchina scoperta.

Il gruppo Lazarus è probabilmente l’unico attore di minacce sponsorizzato dallo stato che si occupa di crimini informatici a scopo di lucro. In attacchi recenti, il gruppo ha sfruttato una gateway VPN vulnerabile, ottenuto privilegi amministrativi, installato una backdoor sul sistema compromesso e sono stati in grado di prendere il controllo del server Active Directory. Curiosamente, prima dell’inizio degli attacchi ransomware VHD, Lazarus APT è stato visto usare malware TrickBot per accedere alle reti delle vittime.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Impatto

Tecniche: Dati Cifrati per Impatto (T1486)

Pronto a provare SOC Prime TDM? Registrati gratuitamente. Oppure unisciti al Threat Bounty Program per creare il tuo contenuto e condividerlo con la comunità TDM.