Contenuto di Threat Hunting: Rilevamento del Ransomware Avaddon

[post-views]
Giugno 18, 2020 · 2 min di lettura
Contenuto di Threat Hunting: Rilevamento del Ransomware Avaddon

Un nuovo arrivato sulla scena del Ransomware, Avaddon Ransomware è stato attivamente diffuso in campagne di spam dall’inizio del mese, e gli attaccanti dietro di esso continuano a reclutare affiliati nei forum underground. Durante una delle campagne rilevate è stata inviata una serie di, i criminali informatici hanno inviato oltre 300.000 email dannose utilizzando Phorphiex/Trik Botnet. Attualmente, Avaddon è più mirato agli utenti individuali piuttosto che alle organizzazioni, e il tempo ci dirà come si evolverà questo malware. Inoltre, finché non ci saranno casi in cui gli attaccanti rubano dati prima di criptare i file, come fanno i gruppi più avanzati che distribuiscono Maze ransomware, DoppelPaymer, Ragnar Locker, e alcuni altri.

I criminali informatici inviano email dannose contenenti solo un’emoji di occhiolino nel corpo dell’email e un file JavaScript che si maschera da foto JPG allegata. Per evitare che un utente distratto sospetti qualcosa, gli attaccanti usano estensioni doppie (puoi leggere di più su questo metodo e sulle rilevazioni dei tentativi di sfruttarlo qui and qui). L’allegato dannoso avvia entrambi un comando PowerShell e Bitsadmin che scaricano l’eseguibile del ransomware Avaddon e lo eseguono. Questa campagna ricorda la campagna di spam ‘Love Letter’ che aveva distribuito il ransomware Nemty questo febbraio, forse è lo stesso cybercriminale che ha corretto gli errori precedenti e ha iniziato a usare estensioni doppie nei file dannosi.

La regola di Threat hunting inviata da Osman Demir consente alle soluzioni di sicurezza di individuare il ransomware Avaddon durante la sua installazione e i primi passi dell’attacco: https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK:

Tattiche: Impatto

Tecniche: Dati criptati per Impatto (T1486)

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow 5 min di lettura Ultime Minacce Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow by Daryna Olyniychuk CVE-2025-8292: Vulnerabilità Use-After-Free in Google Chrome con RCE e Compromissione del Sistema 4 min di lettura Ultime Minacce CVE-2025-8292: Vulnerabilità Use-After-Free in Google Chrome con RCE e Compromissione del Sistema by Daryna Olyniychuk
Tutte le notizie