検出コンテンツ: Ransom X の行動

別のランサムウェアファミリーがこの春に登場し、企業や政府機関を対象とした攻撃で活発に使用されています。5月中旬、サイバー犯罪者はテキサス運輸省のネットワークを攻撃しましたが、不正アクセスが発見され、その結果、一部のシステムのみが暗号化されました。この攻撃では新しいランサムウェア – Ransom X が使用されました。Ransom X は「親類」の中でも際立っており、実行後にコンソールを開いて、敵対者に情報を表示しながら稼働します。289のリモートアクセスツール、MSP、セキュリティソフトウェア、データベース、メールサーバーに関連するプロセスを終了します。また、Windowsのイベントログをクリアし、NTFSジャーナルを削除し、システムの復元を無効にし、Windows回復環境を無効にし、Windowsバックアップカタログを削除し、ローカルドライブから空きスペースを消去する一連のコマンドを実行します。さらに、このランサムウェアの系統は非常に特定のフォルダをいくつか暗号化しておらず、研究者は、これらのフォルダには、組織内の他のシステムに感染するためのツールがサイバー犯罪者によって保存されていると考えています。ファイルを暗号化する前に犯罪者がデータを盗むのか、暗号化を使用して悪意ある活動を隠しているのかは、現在のところ不明です。

Ransom X ランサムウェアは以下の方法で検知できます Ariel MillahuelのコミュニティスレッドハンティングルールがThreat Detection Marketplaceで利用可能です: https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1

このルールは以下のプラットフォーム向けの翻訳があります:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行, 持続性, 権限昇格

技術: スケジュールされたタスク (T1053)