今週のルール: Nefilim/Nephilim ランサムウェア検出

今週は、Nefilim/Nephilimランサムウェアを検出するのに役立つEmir ErdoganによるSigmaルールを特集したいと思います。 破壊的な攻撃に使用されました。このランサムウェアファミリーは、2か月前に初めて発見され、そのコードは昨夏にパブリックアフィリエイトプログラムとして登場したNEMTYランサムウェアに基づいています。NEMTYが、RaaSオペレーションが非公開になったか、または対抗勢力がソースコードを別のグループに売却したため、2つの別々のプロジェクトに分岐したようです。Nephilimランサムウェアは、被害者に身代金を支払わないことを決めた場合に被害者の盗まれたデータを 公開 することを脅かす複数の被害キャンペーンに使用されました。攻撃者はRDPサービスを侵害し、永続性を確立し、横移動するために追加の資格情報を収集し、ランサムウェアのペイロードをすべての利用可能なシステムに配信する前にデータを抽出します。Emir Erdoganによるルールは攻撃の始まりを発見できるため、すべてのシステムが暗号化される前に行動を起こすことができます。 https://tdm.socprime.com/tdm/info/lC8zLKPM5tEv/mCFyDXIBjwDfaYjKjXen/?p=1

脅威検出は以下のプラットフォームをサポートしています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, Sumo Logic

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

タクティクス: 影響、実行、 防御回避

テクニック: 影響を与えるためのデータ暗号化 (1486)、セキュリティツール無効化 (1089)、システムリカバリ阻害 (T1490)

Emir ErdoganはSOC Primeの Threat Bounty Programの積極的な参加者です。TDMユーザーは、ランキングのダウンロード数トップ著者セクションで彼の名前を確認し、Threat Detection Marketplaceで著者によって公開されたすべてのコンテンツを表示することができます。