Detecção de Ransomware como Serviço FONIX
Índice:
Outra plataforma de Ransomware como Serviço está se preparando para jogar um jogo de alto risco com organizações. Pesquisadores da Sentinel Labs descobriram os primeiros ataques utilizando a plataforma FONIX há cerca de três meses. Agora, esta plataforma RaaS ainda está em desenvolvimento ativo, mas seus primeiros clientes já estão testando suas capacidades. Até agora, FONIX é bastante inconveniente de usar, seu processo de criptografia é bastante lento, mas o ransomware é pouco detectado pela maioria das soluções de segurança. E essa última qualidade pode superar as principais desvantagens. Além disso, obter um exemplo malicioso e usá-lo durante um ataque é completamente gratuito: os autores do FONIX receberão 25% do valor do pagamento do resgate mais tarde.
Ransomware FONIX lento mas eficiente
A lentidão da criptografia deve-se ao fato de que, durante um ataque, ele criptografa não apenas certos tipos de arquivos, mas, em geral, tudo, exceto arquivos de sistema críticos. Outro fator que atrasa o ataque é a utilização de uma combinação de protocolos de criptografia (Chacha, AES, Salsa20 e AES) durante o processo de criptografia. Talvez essa abordagem demonstre a inexperiência dos autores nessa área, que sacrificam a velocidade em prol da impossibilidade garantida de as vítimas decifrarem os dados por conta própria. Os pesquisadores presumem que adversários estavam envolvidos no desenvolvimento de codificadores binários.
Comunicações por email e exfiltração de arquivos
Ao contrário da maioria das plataformas RaaS, FONIX não possui um painel para rastrear e gerenciar campanhas maliciosas. Em vez disso, seus autores estão trabalhando em serviços de email para anonimizar as comunicações com as vítimas (possivelmente também para rastrear a atividade de afiliados). Mas, por enquanto, os afiliados são forçados a usar serviços de email de terceiros para comunicações, colocando-se em risco. Para testar a descriptografia de arquivos e obter um decifrador após receber um resgate, os cibercriminosos são forçados a recorrer aos autores do ransomware, o que também acarreta riscos adicionais.
É notável que durante os ataques detectados, os afiliados não roubaram os dados para que a ameaça de divulgação forçasse a vítima a pagar o resgate. Mas isso indica inexperiência dos atacantes, e cibercriminosos experientes podem muito bem exfiltrar informações sensíveis antes de criptografar os sistemas.
Até agora, não houve ataques de grande repercussão usando esse ransomware, e para que nunca aconteçam, Osman Demir desenvolveu a regra de caça a ameaças da comunidade para detectá-lo: https://tdm.socprime.com/tdm/info/YYuWsuf9iDSA/CEPBDHUBR-lx4sDxrTcs/
A regra possui traduções para as seguintes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Elastic Endpoint
MITRE ATT&CK:
Táticas: Impacto, Persistência
Técnicas: Dados Criptografados para Impacto (T1486), Chaves de Registro de Inicialização/Pasta de Inicialização (T1060)
Pronto para experimentar o SOC Prime Threat Detection Marketplace? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensas de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade do Threat Detection Marketplace.
