脅威ハンティングコンテンツ: Avaddonランサムウェアの検出

ランサムウェア界に新たに登場したAvaddonランサムウェアは、月初からスパムキャンペーンで積極的に拡散されており、その背後にいる攻撃者たちは地下フォーラムでアフィリエイトを募り続けています。検出されたキャンペーンのひとつでは、 キャンペーンにおいて、サイバー犯罪者はPhorphiex/Trik Botnetを使用して30万通以上の悪質なメールを送信しました。現在、Avaddonは組織よりも個人ユーザーを対象としており、このマルウェアの進化がどうなるかは時が経たないと分かりません。また、攻撃者がファイルを暗号化する前にデータを盗む事例がない限り、 Maze ランサムウェア DoppelPaymer, Ragnar Lockerなどのより高度なグループのようにはいかないでしょう。

サイバー犯罪者は、メール本文にウィンクの絵文字だけを含む悪質なメールを送信し、JPG写真を装ったJavaScriptファイルを添付します。利用者が怪しまないように、攻撃者はダブル拡張子を使用します（この手法とその検出に関しては こちら and こちらを参照）。悪質な添付ファイルは、Avaddonランサムウェアの実行ファイルをダウンロードし実行するPowerShellとBitsadminコマンドを起動します。このキャンペーンは、2月にNemtyランサムウェアを配布した 『Love Letter』スパム を思い起こさせ、以前の間違いを修正して悪質なファイルにダブル拡張子を使用し始めた同じ脅威アクターである可能性があります。

によって提出された脅威ハンティングルールは、Avaddonランサムウェアのインストール中および攻撃の初期段階でそれを察知するためにセキュリティソリューションを可能にします： によって提出された脅威ハンティングルールは、Avaddonランサムウェアのインストール中および攻撃の初期段階でそれを察知するためにセキュリティソリューションを可能にします： enables security solutions to uncover Avaddon ransomware during its installation and the first steps of the attack: https://tdm.socprime.com/tdm/info/yme41l3RvAMR/glX4wXIBQAH5UgbBnIcH/?p=1

このルールには、以下のプラットフォーム向けの翻訳があります：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

戦術: 影響

技術: 影響を与えるためのデータの暗号化 (T1486)