Rilevatore di Ransomware Smaug (Comportamento Sysmon)

Ultime Minacce

Settembre 11, 2020

2 min di lettura

Rilevatore di Ransomware Smaug (Comportamento Sysmon)

Eugene Tkachenko
Eugene Tkachenko Responsabile Programma Comunitario linkedin icon Segui

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Iscriviti al Riepilogo Settimanale

Esclusivo per gli utenti di SOC Prime

Newsletter Icon

Oggi vorremmo attirare la vostra attenzione su una minaccia relativamente recente e sui contenuti per la sua rilevazione. Smaug Ransomware-as-a-Service è apparso sui radar dei ricercatori alla fine di aprile 2020, gli attaccanti cercano affiliati esclusivamente sui forum del Dark Web in lingua russa e offrono l’uso della loro piattaforma per un pagamento iniziale piuttosto consistente e il 20% del profitto successivo. Per attirare hacker esperti, gli autori del malware in alcuni forum hanno suggerito di non pagare un acconto se i criminali informatici possono dimostrare i loro successi passati.

Come si potrebbe intuire, il progetto è sopravvissuto e ha trovato i suoi seguaci, nonostante la semplicitĂ  del malware e la necessitĂ  per l’utente di preoccuparsi di mezzi aggiuntivi per nascondere il codice maligno. Gli affiliati che utilizzano il ransomware Smaug hanno accesso a una dashboard dove possono monitorare le loro campagne e creare payload per attaccare sia organizzazioni che individui. Smaug è scritto in Golang, e i ricercatori hanno scoperto campioni che mirano sia a sistemi Windows che Linux e utilizzano la chiave pubblica RSA durante il processo di crittografia. Può funzionare completamente offline senza la necessitĂ  di una connessione di rete, e i suoi autori incoraggiano attacchi interni a sistemi che altrimenti non sarebbero così vulnerabili agli attacchi ransomware.

Il partecipante al programma Threat Bounty, Lee Archinal ha pubblicato una regola esclusiva di threat hunting che rileva le caratteristiche del ransomware Smaug: https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tattiche: Impatto

Tecniche: Dati Cifrati per Impatto (T1486)

 

Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al programma Threat Bounty per creare i tuoi contenuti e condividerli con la community TDM.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilitĂ  sulle minacce piĂą rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

More Ultime Minacce Articles

Rilevamento delle AttivitĂ  del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle VulnerabilitĂ  Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle AttivitĂ  del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle VulnerabilitĂ  Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Zahorulko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilitĂ  Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilitĂ  Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Zahorulko Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware 4 min di lettura Ultime Minacce Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware by Veronika Zahorulko