Conteúdo de Detecção: Comportamento do Ransom X

Outra família de ransomware apareceu nesta primavera e está sendo usada ativamente em ataques direcionados contra empresas e agências governamentais. Em meados de maio, cibercriminosos atacaram a rede do Departamento de Transportes do Texas, mas o acesso não autorizado foi descoberto, e, como resultado, apenas parte dos sistemas foi criptografada. Nesta ataque foi usado um novo ransomware – Ransom X, que se destaca entre seus “parentes”. Ransom X é um ransomware operado por humanos que abre um console após a execução que exibe informações para adversários enquanto está em execução. Ele termina 289 processos relacionados a ferramentas de acesso remoto, MSP e software de segurança, bancos de dados e servidores de e-mail. Também executa uma série de comandos para limpar logs de eventos do Windows, excluir diários NTFS, desativar o Restauração do Sistema, desativar o Ambiente de Recuperação do Windows, excluir catálogos de backup do Windows e limpar o espaço livre de discos locais. Além disso, esta cepa de ransomware não criptografa várias pastas muito específicas, e os pesquisadores acreditam que nessas pastas os cibercriminosos armazenam suas ferramentas usadas para infectar outros sistemas na organização. Atualmente não se sabe se os criminosos roubam dados antes de criptografar arquivos, ou até mesmo usam a criptografia para esconder sua atividade maliciosa.

O ransomware Ransom X pode ser detectado usando Ariel Millahuel‘s a regra de caça a ameaças da comunidade disponível no Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Execução, Persistência, Escalada de Privilégios

Técnicas: Tarefa Agendada (T1053)