Snatch ランサムウェア攻撃の検出

ランサムウェアは企業ネットワークに対する最も深刻な脅威の一つであり、Snatchランサムウェアは比較的最近登場した最も厄介な「ゲスト」の一つです。最初の感染は約2年前に記録されましたが、組織に対する深刻な攻撃は2019年4月から始まり、それ以降、攻撃者の欲望やスキルは、大企業の妥協や7桁の身代金支払いのニュースによって成長しています。

Snatchランサムウェアの背後にいる攻撃者はロシア語を話し、攻撃速度に焦点を当ててロシア語を話すパートナーに無料のトレーニングを行っています。組織が侵害されてからファイルの暗号化まで数時間しかかかりません。ただし、一部のパートナーはよりプロフェッショナルであり、攻撃された企業に対する追加の影響力を持つために、暗号化を行う前にデータを盗みます。

サイバー犯罪者は通常、公開されたRDPホストに対してブルートフォース攻撃を行い、成功した妥協の後にバックアップサーバーやドメインコントローラーを攻撃し、アクセス可能なすべてのシステムにランサムウェアをインストールします。その後、感染したシステムはセーフモードで再起動し、ランサムウェアはボリュームシャドウコピーを削除し、ファイルを暗号化します。

新しいコミュニティ脅威ハンティングルール オスマン・デミル によって、データ暗号化プロセスが始まる前にSnatchランサムウェアの兆候を明らかにすることを可能にします:

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

このルールは以下のプラットフォーム向けの翻訳があります:

SIEM: Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、RSA NetWitness、LogPoint、Humio

EDR: Carbon Black、Elastic Endpoint

MITRE ATT&CK: 

戦術: 影響

技法: データ暗号化による影響 (T1486)

SOC Prime TDMを試してみたいですか？ 無料でサインアップ。または Threat Bounty Programに参加 して、自分のコンテンツを作成し、それをTDMコミュニティと共有してください。