検出コンテンツ: WastedLocker ランサムウェア

新しいWastedLockerランサムウェアは2020年5月に初めて発見されました。これは、以前にDridexトロイの木馬を使用してBitPaymerランサムウェアを展開していた高名なEvil Corpグループによって開発されました。 Dridex トロイの木馬を使用して BitPaymer ランサムウェアを米国とヨーロッパの政府機関や企業を標的とした攻撃で展開しました。

昨年、攻撃者の一部がグループを離れ、BitPaymerのコードに基づいたDoppelPaymerランサムウェアを使用して独自の攻撃を開始しました。短い休止の後、Evil Corpのハッカーは攻撃を再開し、新しいランサムウェアファミリーを使用して大規模な作戦の準備を始めました。 DoppelPaymer BitPaymerのコードに基づいたランサムウェア。 大規模な作戦 新しいランサムウェアファミリーを使用して。

WastedLockerとBitPaymerにはほとんど共通点がありません。初期侵害は現在、カスタムCobaltStrikeローダーを直接配布するために使用されるSocGholish偽の更新フレームワークを介して行われます。次に、フレームワークは感染したシステムが組織のネットワークの一部であるかどうかを判断し、システムに関する追加情報を収集して攻撃者に渡します。ネットワークに侵入すると、脅威アクターはCobalt Strike、Mimikatz、Empire、PowerSploitなどのツールセットを使用して、標的組織の環境内での横移動を容易にします。さらに、Evil Corpは原生のオペレーティングシステムの機能（LoLBins）を使用して検出を回避し、暗号化が始まるまでレーダーの下で操作します。

Threat Bountyプログラムの参加者からの新しいルールは、Evil Corpの悪意のある活動とWastedLockerランサムウェアの展開を検出するのに役立ちます。

WastedLockerランサムウェア・ハンティング（クレデンシャルダンピング） by アリエル・ミヤウエル: https://tdm.socprime.com/tdm/info/ohVpL4U6RLYd/Db4eLnMBPeJ4_8xcypLC/?p=1

WastedLockerランサムウェア・ハンティング（初期アクセスと侵害） アリエル・ミヤウエル著: https://tdm.socprime.com/tdm/info/cexuKikgrGxH/-ZccLnMBQAH5UgbB-SXj/?p=1

WastedLockerランサムウェア・ハンティング（防衛回避） アリエル・ミヤウエル著:
https://tdm.socprime.com/tdm/info/kNavqYGJrev8/yppbM3MBQAH5UgbBHWAp/?p=1

WastedLockerランサムウェア・ハンティング（ディスカバリー） アリエル・ミヤウエル著:
https://tdm.socprime.com/tdm/info/NuV0JT0Mu2xi/AZdZM3MBSh4W_EKG6zKf/?p=1

WastedlockerはEvil Corpグループによって開発された新しいランサムウェア変種です by オスマン・デミール: https://tdm.socprime.com/tdm/info/PYGGqXXI8HiF/GIRtFHMBSh4W_EKG3ChF/?p=1

以下のプラットフォーム用にルールの翻訳があります:

SIEM：Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR：Windows Defender ATP, Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

戦術：初期アクセス、実行、インパクト

技術：PowerShell (T1086)、Service Execution (T1035)、ドライブバイ侵害 (T1089)、インパクトのために暗号化されたデータ (T1486)