Conteúdo de Detecção: Trojan Phorpiex

Em um dos nossos conteúdos de Caça a Ameaças posts de blog, já observamos uma regra para detectar ransomware Avaddon, uma nova variante de Ransomware como Serviço que foi vista pela primeira vez no início de junho. Um dos distribuidores mais ativos do ransomware Avaddon é o botnet Phorpiex, que recentemente se recuperou de perdas ocorridas no início deste ano. Sistemas infectados podem enviar dezenas de milhares de e-mails por hora e, no final de 2019, o número desses sistemas era próximo a meio milhão.

O botnet Phorpiex, também conhecido como Trik, está ativo há mais de uma década, e nos últimos anos, o botnet esteve ‘fora de operação’ duas vezes por um longo período devido a falhas de segurança. Na última vez, neste inverno, alguém sequestrou a infraestrutura de backend do botnet e desinstalou o malware spam-bot de parte dos hosts infectados, além de exibir uma janela pop-up avisando as vítimas para instalarem um antivírus e atualizarem seus sistemas. Apesar disso, os cibercriminosos mais uma vez restauraram sua eficiência e começaram a conduzir campanhas de spam em massa espalhando o ransomware Avaddon. No passado, o botnet usou repetidamente suas capacidades em campanhas de sextorsão, para entregar o ransomware GandCrab, o trojan Pushdo, e para minerar criptomoedas nos hosts infectados (algumas dessas ondas de mala direta atingiram o pico de 27 milhões de e-mails por campanha). Nova regra Sigma de caça a ameaças submetida por Osman Demir permite que soluções de segurança descubram a instalação de amostras recentemente descobertas do botnet Phorpiex: https://tdm.socprime.com/tdm/info/3MbqhCMu2lQ7/SsQ7OHMBPeJ4_8xc3syx/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Acesso Inicial

Técnica: Anexo de Spearphishing (T1193)

Pronto para experimentar o SOC Prime TDM? Inscreva-se de graça. Ou junte-se ao Programa de Recompensas por Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.