SolidBit Ransomware Detection: Novel Variant Targets Users of Popular Video Games and Social Media Platforms
Indice:
Gli attacchi ransomware sono diventati una tendenza costantemente in crescita nell’arena delle minacce informatiche dal 2020, e continuano ad aumentare nel 2021-2022. Recentemente, i ricercatori di cybersecurity hanno scoperto una nuova variante del ransomware SolidBit, che prende di mira giocatori e utenti dei social media. Il nuovo ceppo di malware è stato individuato in natura, caricato su GitHub e mascherato da applicazioni popolari che attirano potenziali vittime a eseguirle. Una volta avviati, i file esca eseguono codice PowerShell dannoso che distribuisce il ransomware sui dispositivi presi di mira.
Rileva la Nuova Variante di Ransomware SolidBit
Con volumi in aumento di attacchi ransomware sofisticati e l’espansione delle attività di ransomware-as-a-service (RaaS), i difensori informatici sono alla ricerca di modi innovativi per rafforzare la postura di cybersecurity della loro organizzazione. La piattaforma Detection as Code di SOC Prime ha recentemente rilasciato un set di regole Sigma curate per rilevare il ransomware SolidBit realizzato dai nostri esperti sviluppatori del Programma Threat Bounty, Furkan Celik and Osman Demir. Gli utenti registrati di SOC Prime possono accedere alle query dedicate di caccia alle minacce seguendo il link qui sotto:
Regole Sigma per rilevare il ransomware SolidBit
Entrambi i rilevamenti sono compatibili con le soluzioni leader del settore SIEM, EDR e XDR supportate dalla piattaforma di SOC Prime e sono allineati con il framework MITRE ATT&CK indirizzando la tattica Impact con la corrispondente tecnica Data Encrypted for Impact (T1486). Inoltre, la regola Sigma dedicata di Furkan Celik affronta anche la tattica Execution di ATT&CK rappresentata dalla tecnica User Execution (T1204).
I professionisti esperti di cybersecurity che si sforzano di arricchire le proprie competenze in Detection Engineering e Threat Hunting possono unirsi ai ranghi del nostro Programma Threat Bounty per contribuire al sapere collettivo del settore. Partecipare al Programma consente agli autori di contenuti di rilevamento di monetizzare le proprie competenze professionali contribuendo a costruire un futuro digitale più sicuro.
Per tenersi aggiornati sugli attacchi ransomware in rapida evoluzione, i team di sicurezza possono sfruttare l’intera collezione di regole Sigma rilevanti disponibili nella piattaforma di SOC Prime cliccando il pulsante Detect & Hunt qui sotto. Per un’indagine sulle minacce semplificata, gli utenti non registrati di SOC Prime possono anche trarre vantaggio dal nostro Cyber Threats Search Engine ed esplorare le informazioni contestuali complete relative al ransomware, inclusi riferimenti MITRE ATT&CK e CTI e altri metadati rilevanti cliccando il pulsante Explore Threat Context qui sotto.
pulsante Detect & Hunt pulsante Explore Threat Context
Descrizione di SolidBit
SolidBit ransomware, un giocatore relativamente nuovo nell’arena delle minacce informatiche, è un discendente del famigerato ransomware Yashma/Chaos. I ricercatori di sicurezza ritengono che i gestori di SolidBit lavorino a stretto contatto con gli sviluppatori di Yashma per migliorare alcune funzionalità del costruttore Chaos e poi andare sul mercato sotterraneo, marchiandolo come SolidBit.
L’ultima modifica, promossa come variante SolidBit 3.0, è compilata con .NET e, secondo l’ indagine di Trend Micro, sfrutta una catena di attacco insolita per raggiungere massicce infezioni. Notoriamente, gli operatori del ransomware SolidBit hanno spinto il payload dannoso su GitHub, mascherando la minaccia all’interno di strumenti di gioco e bot per i social media.
L’ultima campagna diffonde un falso strumento di verifica degli account di League of Legends e un bot per follower di Instagram. Nel caso in cui una vittima scarichi l’app da GitHub e la avvii, l’applicazione malevola esegue prontamente un codice PowerShell che alla fine rilascia il payload SolidBit. Prima della crittografia, il ransomware applica una serie di trucchi di debug e offuscamento insieme alla terminazione dei servizi e alla cancellazione delle copie shadow per passare inosservato.
Oltre ai miglioramenti delle funzionalità principali, i gestori di SolidBit si sforzano di espandere la loro rete malevola applicando il modello RaaS. Notoriamente, il 30 giugno 2022, i ricercatori di sicurezza hanno individuato annunci di lavoro su forum sotterranei per coinvolgere nuovi affiliati SolidBit RaaS.
Le nuove tattiche indicano l’aumento della sofisticazione del ceppo SolidBit, che è una tendenza comune nell’arena dei ransomware. Con l’aumento del campo e della scala degli attacchi, i ricercatori di sicurezza necessitano di strumenti innovativi per rilevare le minacce emergenti e rimanere un passo avanti rispetto agli attaccanti. Unisciti alla piattaforma Detection as Code di SOC Prime per individuare gli ultimi attacchi con la più grande collezione mondiale di regole Sigma, migliorare la copertura delle fonti di log e MITRE ATT&CK e contribuire attivamente a rafforzare le capacità di difesa informatica della tua organizzazione. I cacciatori di minacce e gli ingegneri di rilevamento esperti sono i benvenuti ad aderire all’ Programma Threat Bounty iniziativa di crowdsourcing di SOC Prime, per condividere i loro algoritmi di rilevamento con la comunità della cybersecurity, contribuire alla difesa informatica collaborativa e ottenere pagamenti ripetuti per il loro contributo.
