検出コンテンツ: Scarab ランサムウェア

Scarabランサムウェアは2017年6月に初めて発見されて以来、新しいバージョンとともに再出現を続けています。このランサムウェアは、2015年にリリースされたオープンソースのランサムウェアトロイの木馬HiddenTearの多くのバリエーションの1つです。 

最近発見されたランサムウェアのバージョンは、改良されたRSA暗号化方式を使用し、感染ファイルにさまざまな拡張子を追加します。Scarabランサムウェアは代替復元方法を妨害し、Windowsの復元ポイントや、影響を受けたファイルを元の状態に戻すために使用できるシャドウボリュームコピーを削除します。ユニークなキーなしでの復号は不可能です。研究者たちは複数のキャンペーンでそれを観察しました：敵対者はフィッシングメールを送信してマルウェアを拡散します、 いくつかのケースでは、彼らは借りました Necursボットネット 目的のために。 

そのランサムウェアの複数のバリアントが脅威の状況で出現し続けています。最後のものは 2週間前に発見され、暗号化されたファイルに.cov19拡張子を追加しました。新しいコミュニティの脅威ハンティングSigmaルールによって、 暗号化プロセスの初期段階でのScarabランサムウェアの新しいサンプルの露見を助けます： Ariel Millahuel helps to uncover fresh samples of Scarab ransomware at the beginning of the encryption process: https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

ルールは次のプラットフォーム向けに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 影響

技術: 影響を与えるためのデータ暗号化 (T1486)

今週、Arielはランサムウェア検出のための別のコミュニティルールを公開しました。それはAKOランサムウェアの特徴を特定し、開発中の新しいランサムウェア・アズ・ア・サービスの提供です： https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75