Detecção de Ransomware LockBit: Gangue Cibercriminosa Afiliada à Evil Corp, também conhecida como UNC2165, Tenta Evitar Sanções dos EUA
Índice:
Em dezembro de 2019, o Departamento do Tesouro dos EUA Escritório de Controle de Ativos Estrangeiros (OFAC) sancionou o grupo cibercriminoso ligado à Rússia rastreado como Evil Corp (também conhecido como Dridex, INDRIK SPIDER) que estava por trás da implantação e distribuição do notório malware Dridex que mira bancos e instituições financeiras há quase uma década. Em uma tentativa de evadir sanções, os atores ameaçadores buscavam maneiras de mudar para operações de ransomware mais sofisticadas desenvolvendo e aplicando novas amostras de malware, incluindo WasterLocker and Hades ransomware, este último enriquecido com um conjunto de melhorias de ofuscação de código.
De acordo com a pesquisa mais recente da Mandiant, um grupo de ameaça motivado financeiramente chamado UNC2165 anteriormente observado distribuindo malware Hades e também vinculado a intrusões de ransomware LockBit, pode estar afiliado aos atores do Evil Corp com base em sobreposições e padrões de comportamento adversário semelhantes. Portanto, a atividade maliciosa do grupo UNC2165 pode ser considerada mais um passo na evolução das operações afiliadas ao Evil Corp.
Detecte Atividade do Evil Corp Afiliada ao UNC2165
A evolução dos ataques de ransomware representa uma séria ameaça para organizações globais, portanto, sua detecção oportuna parece ser uma consideração significativa ao construir uma estratégia de cibersegurança eficiente. Para detectar a atividade maliciosa dos afiliados notórios do Evil Corp que estão constantemente evoluindo seu arsenal adversário, explore um conjunto dedicado de regras Sigma da plataforma Detection as Code da SOC Prime:
Regras Sigma para detectar atividade afiliada ao Evil Corp também rastreada como UNC2165
Todas as detecções são aplicáveis a soluções líderes da indústria em SIEM, EDR e XDR suportadas pela plataforma da SOC Prime e estão alinhadas com a estrutura MITRE ATT&CK®, garantindo visibilidade abrangente das ameaças relevantes.
Profissionais de InfoSec que buscam estar totalmente equipados com capacidades aprimoradas de detecção e caça de ameaças são incentivados a explorar toda a coleção de regras Sigma disponíveis na plataforma da SOC Prime e adaptadas às necessidades de segurança personalizadas. Para explorar a lista abrangente de conteúdo SOC para detectar ransomware LockBit e instantaneamente procurar por ameaças relevantes, clique no botão Detect and Hunt . Para explorar instantaneamente a referência MITRE ATT&CK, CTI relevante e mais metadados para investigação aprofundada de ameaças, navegue no mecanismo de busca da SOC Prime para Detecção de Ameaças, Caça de Ameaças e CTI clicando no botão Explore Threat Context .
Detect & Hunt Explore Threat Context
UNC2165 Desdobra Ransomware LockBit: Novos Vetores de Ataque
De acordo com a investigação aprofundada da Mandiant, o coletivo de hackers rastreado como UNC2165 está utilizando cada vez mais o ransomware LockBit para ganhos financeiros. Especialistas em segurança apontam que o UNC2165 tem sobreposições significativas com os atores do Evil Corp, presumivelmente sendo a nova encarnação do coletivo que transforma seu conjunto de ferramentas mais uma vez para evitar as sanções dos EUA.
Desde que foi sancionado em 2019 por campanhas de malware Dridex, o grupo Evil Corp alterou o conjunto de ferramentas várias vezes para prosseguir com operações motivadas financeiramente. Anteriormente, o grupo tinha uma abordagem única para penetrar nas redes-alvo através da cadeia de infecção “FakeUpdates”, implantando variantes personalizadas de WastedLocker e Hades. No entanto, recentemente o Evil Corp tem sido visto confiando cada vez mais no ransomware como serviço (RaaS) LockBit em vez de amostras exclusivas de ransomware. O motivo para isso é escapar das sanções da OFAC ocultando-se entre outros afiliados do LockBit RaaS e aproveitando a infraestrutura LockBit para operações anonimizadas.
Especialistas da Mandiant analisaram a nova cadeia de ataque concluindo que os atores do UNC2165 continuam com o FakeUpdates para a intrusão inicial. Particularmente, os hackers utilizam carregadores DONUT e COLOFAKE para implantar o Cobalt Strike Beacon e ganhar uma posição na rede. Além disso, ataques de Mimikatz e Kerebroasting são utilizados para escalonamento de privilégios, enquanto um conjunto de utilitários nativos do Microsoft Windows (whoami, nltest, cmdkey, and net) são usados para reconhecimento interno. Após o acesso e exfiltração dos dados sensíveis no ambiente pelos hackers, o UNC2165 libera cargas úteis do LockBit para criptografar os ativos direcionados.
Aumente as capacidades de detecção de ameaças e acelere a velocidade da caça de ameaças acessando o conjunto de ferramentas SOC mais abrangente disponível através da plataforma Detection as Code da SOC Prime! Junte-se agora gratuitamente e acesse instantaneamente a maior biblioteca de conteúdo de detecção juntamente com ferramentas avançadas para aumentar a eficácia de suas operações de cibersegurança.
