O Rei dos Pagamentos Mira o Trono do Ransomware
Detection stack
- AIDR
- Alert
- ETL
- Query
Investigação
ThreatLabz analisou várias amostras de ransomware, revertendo as funções hash CRC e FNV1 personalizadas utilizadas pelo malware e identificando a persistência através de tarefas agendadas. Os pesquisadores também documentaram o esquema de criptografia, as extensões de arquivo alvo e o fluxo geral de execução. Sua análise revelou uma lista interna de processos relacionados à segurança que o ransomware tenta terminar usando chamadas de sistema de baixo nível antes de iniciar a criptografia. Indicadores adicionais, incluindo parâmetros de linha de comando e padrões de extensão de arquivo, foram extraídos diretamente das amostras para apoiar os esforços de detecção e caçada.
Mitigação
As organizações devem impor autenticação multifatorial, treinar usuários para reconhecer tentativas de engenharia social e monitorar o uso suspeito de ferramentas como Microsoft Teams e Quick Assist. Os defensores também devem bloquear extensões de arquivo conhecidas relacionadas a ransomware e implantar detecções em endpoints capazes de identificar a criação de tarefas agendadas sob o caminho Mozilla, bem como chamadas para SetFileInformationByHandle com FileRenameInfo. Backups offline devem ser mantidos regularmente, e cópias sombra devem ser protegidas para melhorar as opções de recuperação em caso de criptografia.
Resposta
Se atividade do Payouts King for detectada, isole imediatamente o sistema afetado e colete tanto a memória volátil quanto imagens de disco para análise forense. Os investigadores devem revisar tarefas agendadas para nomes como MozillaUpdateTask and MozillaElevateTask, depois procurar pelos argumentos de linha de comando protegidos por CRC personalizados e as extensões de arquivo criptografadas únicas associadas ao malware. A recuperação deve se focar em restaurar dados de backups limpos e verificados. As equipes de segurança também devem enviar os hashes das amostras identificadas para plataformas relevantes de inteligência de ameaças para apoiar o rastreamento e defesa mais amplo.
Fluxo de Ataque
Detecções
Possível Uso de Schtasks ou AT para Persistência (via cmdline)
Visualizar
Atividade Suspeita do VSSADMIN (via cmdline)
Visualizar
IOCs (HashSha256) para detectar: Payouts King Mira para o Trono do Ransomware
Visualizar
Persistência de Tarefa Agendada do Payouts King Ransomware [Criação de Processo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.
-
Narrativa do Ataque & Comandos:
O atacante, tendo obtido o acesso inicial, quer garantir que o ransomware execute em cada reinicialização do sistema e obtenha privilégios de SISTEMA. Eles usam o
binário schtasks.exenativo para evitar introduzir ferramentas de terceiros. Primeiro, eles criam um “UpdateTask” que executa um payload de ransomware falso, em seguida, imediatamente criam e executam um “ElevateTask” que gera um processo privilegiado para avançar a cadeia de infecção. Ambas as tarefas são colocadas sob onamespace Mozillapara imitar o padrão conhecido do Payouts King.-
Criar UpdateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" -
Criar ElevateTask:
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" -
Executar ElevateTask imediatamente:
schtasks.exe /run /tn MozillaElevateTask -
(Opcional) Verificar se as tarefas existem:
schtasks.exe /query /tn Mozilla* /fo LIST /v
Essas linhas de comando exatas correspondem às
seleção1andseleção2cláusulas da regra Sigma, satisfazendo acondição: seleção1 e seleção2 e não exclusão. -
-
Script de Teste de Regressão:
# Simulação de Persistência de Tarefa Agendada Payouts King # ------------------------------------------------- # Etapa 1: Criar o UpdateTask (persistência ao inicializar) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe" # Etapa 2: Criar o ElevateTask (auxiliar de escalonamento de privilégios) schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker" # Etapa 3: Execute o ElevateTask imediatamente para gerar o segundo evento de detecção schtasks.exe /run /tn MozillaElevateTask # Etapa 4: Confirmação de saída (não é necessário para detecção, para visibilidade do operador) Write-Host "Tarefas agendadas criadas e ElevateTask executado." -
Comandos de Limpeza:
# Remova as tarefas criadas para o teste schtasks.exe /delete /tn MozillaElevateTask /f schtasks.exe /delete /tn MozillaUpdateTask /f # Opcionalmente apague o payload fictício Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue