Conteúdo de Detecção: Ransomware WastedLocker

[post-views]
Julho 08, 2020 · 3 min de leitura
Conteúdo de Detecção: Ransomware WastedLocker

O novo ransomware WastedLocker foi detectado pela primeira vez em maio de 2020. Ele foi desenvolvido pelo grupo de destaque Evil Corp, que anteriormente utilizou o Dridex trojan para implantar BitPaymer ransomware em ataques direcionados a organizações governamentais e empresas nos Estados Unidos e Europa.

No ano passado, parte dos atacantes deixou o grupo e começou seus próprios ataques usando DoppelPaymer ransomware com base no código do BitPaymer. Após uma breve pausa, os hackers do Evil Corp continuaram seus ataques e começaram a preparar uma operação em larga escala usando a nova família de ransomware.

WastedLocker e BitPaymer têm pouco em comum. A violação inicial ocorre através do framework falso de atualização SocGholish, que agora é usado para distribuir diretamente um carregador CobaltStrike personalizado. Em seguida, o framework determina se o sistema infectado faz parte da rede da organização, coleta informações adicionais sobre o sistema e as repassa aos adversários. Após entrar na rede, o atacante usa várias ferramentas como Cobalt Strike, Mimikatz, Empire e PowerSploit para facilitar o movimento lateral nos ambientes da organização-alvo. Além disso, o Evil Corp usa funcionalidades nativas do sistema operacional (LoLBins) para evitar a detecção e operar disfarçadamente até o início da criptografia.

Novas regras dos participantes do programa Threat Bounty ajudam a detectar a atividade maliciosa do Evil Corp e a implantação do ransomware WastedLocker:

Caça ao Ransomware WastedLocker (Dumping de credenciais) by Ariel Millahuel: https://tdm.socprime.com/tdm/info/ohVpL4U6RLYd/Db4eLnMBPeJ4_8xcypLC/?p=1

Caça ao Ransomware WastedLocker (Acesso inicial e comprometimento) por Ariel Millahuel: https://tdm.socprime.com/tdm/info/cexuKikgrGxH/-ZccLnMBQAH5UgbB-SXj/?p=1

Caça ao Ransomware WastedLocker (Evasão de defesa) por Ariel Millahuel:
https://tdm.socprime.com/tdm/info/kNavqYGJrev8/yppbM3MBQAH5UgbBHWAp/?p=1

Caça ao Ransomware WastedLocker (Descoberta) por Ariel Millahuel:
https://tdm.socprime.com/tdm/info/NuV0JT0Mu2xi/AZdZM3MBSh4W_EKG6zKf/?p=1

Wastedlocker, uma nova variante de ransomware desenvolvida pelo grupo Evil Corp by Osman Demir: https://tdm.socprime.com/tdm/info/PYGGqXXI8HiF/GIRtFHMBSh4W_EKG3ChF/?p=1

As regras têm traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Acesso Inicial, Execução, Impacto

Técnicas: PowerShell (T1086), Execução de Serviço (T1035), Comprometimento Drive-by (T1089), Dados Criptografados para Impacto (T1486)

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Tática de Execução | TA0002
Ameaças Mais Recentes, Blog — 7 min de leitura
Tática de Execução | TA0002
Daryna Olyniychuk
PyVil RAT pelo Grupo Evilnum
Ameaças Mais Recentes, Blog — 2 min de leitura
PyVil RAT pelo Grupo Evilnum
Eugene Tkachenko
JSOutProx RAT
Ameaças Mais Recentes, Blog — 3 min de leitura
JSOutProx RAT
Eugene Tkachenko