Rilevamento di YourCyanide: Nuova Variante di Ransomware Auto-Propagante
Indice:
La nuova variante di ransomware segue le orme del ransomware GonnaCope, il primo ceppo nella famiglia di ransomware basati su CMD che è emerso per la prima volta nell’aprile 2022. Altri campioni simili caricati su VirusTotal nel maggio 2022 sono noti come Kekpop e Kekware.
Il nuovo attore emergente è chiamato YourCyanide e presumibilmente ha tutto il necessario per diventare la prossima grande minaccia. I dati recuperati dagli attacchi mostrano che il ceppo di ransomware non cripta ancora alcun file; tutto il danno documentato è che li rinomina, causando un grande disagio agli utenti colpiti. La variante difficile da rilevare sfrutta i link di Microsoft, PasteBin e Discord per far cadere il payload dannoso e propagarsi.
I ricercatori hanno scoperto che l’ultima variante della famiglia di ransomware basati su CMD può rubare informazioni degli utenti ed evitare il rilevamento grazie alle sue molteplici stratificazioni di offuscamento.
Rileva YourCyanide
The Regole Sigma sotto, rilasciate dai nostri perspicaci sviluppatori di Threat Bounty Aytek Aytemur and Osman Demir, permettono un rilevamento senza sforzo degli ultimi attacchi che coinvolgono il ransomware YourCyanide:
Esecuzione sospetta di YourCyanide tramite rilevamento di comandi associati (via cmdline)
Le regole sono allineate con l’ultima MITRE ATT&CK® framework v.10, affrontando le tattiche di Impatto ed Esecuzione con tecniche di Dati Crittografati per Impatto (T1486) e Interprete di Comandi e Script (T1059).
Registrati alla Piattaforma SOC Prime per aumentare la tua velocità di caccia alle minacce con oltre 185.000 algoritmi di rilevamento che si integrano con la tua soluzione SIEM, EDR e XDR. Per accedere alla libreria completa di regole Sigma per rilevare minacce ransomware informatiche, clicca il Rileva & Caccia pulsante qui sotto.
Per ottenere una migliore visibilità sulle minacce che attraversano la tua rete, naviga in un panorama di minacce in continua evoluzione con una nuova soluzione di SOC Prime – il Motore di Ricerca delle Minacce Informatiche. Il Motore di Ricerca è disponibile gratuitamente e non richiede registrazione. Provaci cliccando il Esplora Contesto delle Minacce pulsante.
Rileva & Caccia Esplora Contesto delle Minacce
Analisi di YourCyanide
Secondo i dati disponibili, la variante discende dal ransomware GonnaCope, che è stato il primo nella serie di ceppi di ransomware basati su CMD, ora sotto stretta osservazione dei ricercatori di sicurezza. Il ransomware YourCyanide è stato analizzato a fondo dal team di Threat Hunting di Trend Micro. Gli utenti all’interno di una rete compromessa hanno ricevuto una nota che indicava che il loro sistema era stato violato e l’avviso ha seguito, indicando che “Kekware e Kekpop (due varianti precedenti) erano solo l’inizio”.
I dati di ricerca mostrano che i ceppi di questa famiglia di ransomware sono ancora nella fase di sviluppo, quindi gli analisti non sono sicuri di cosa aspettarsi quando evolveranno e raggiungeranno il loro pieno potenziale.
La variante di YourCyanide consente anche il furto di credenziali, compromettendo un numero di applicazioni come Chrome, Discord e Microsoft Edge.
Gli esperti di cybersecurity sono più che benvenuti a unirsi al Programma di Minaccia Bounty per pubblicare contenuti SOC sulla piattaforma leader del settore e ottenere ricompense per il loro prezioso contributo. Approfitta dell’opportunità per migliorare la tua routine di difesa e rilevamento!
