Conteúdo de Detecção: Ransomware Scarab

O ransomware Scarab foi avistado pela primeira vez em junho de 2017 e vem reaparecendo com novas versões desde então. Este ransomware é uma das muitas variantes do HiddenTear, um ransomware Trojan de código aberto lançado em 2015. 

As versões recentemente descobertas de ransomware usam um método de criptografia RSA aprimorado e adicionam várias extensões aos arquivos infectados. O ransomware Scarab interfere nos métodos de recuperação alternativos, excluindo os pontos de restauração do Windows e as Cópias de Sombra de Volume que poderiam ser usadas para restaurar os arquivos afetados aos seus estados anteriores. A descriptografia sem uma chave única é impossível. Pesquisadores observaram-no em várias campanhas: os adversários enviam e-mails de phishing para espalhar o software malicioso, em vários casos, eles alugaram botnet Necurs para este fim. 

Múltiplas variantes do ransomware continuam a aparecer no cenário de ameaças. A última foi observada duas semanas atrás, adicionando a extensão .cov19 aos arquivos criptografados. Nova regra de caça a ameaças da comunidade no Sigma por Ariel Millahuel ajuda a descobrir novas amostras de ransomware Scarab no início do processo de criptografia: https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Táticas: Impacto

Técnicas: Dados Criptografados para Impacto (T1486)

Esta semana Ariel publicou outra regra da comunidade para detecção de ransomware. Ela identifica características do AKO Ransomware, que é a nova oferta de ransomware-como-serviço em desenvolvimento: https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75