Detecção de Ransomware Magniber: Atores de Ameaças Espalham Arquivos JavaScript Alvejando Usuários do Windows
Índice:
Ao longo de 2021-2022, ransomware continua a ser uma das tendências dominantes no cenário de ameaças cibernéticas, ilustrado pela crescente sofisticação das intrusões e um número rapidamente crescente de afiliados de ransomware. Pesquisadores de segurança cibernética alertam para as campanhas maliciosas em andamento, que visam usuários do Windows e distribuem ransomware Magniber disfarçado de atualizações de software.
Detectar Ransomware Magniber
Os ataques de ransomware Magniber contra usuários do Windows podem representar riscos significativos devido ao uso de técnicas de adversários para evitar detecção, ofuscação e mais capacidades ofensivas avançadas que podem atrair uma vítima potencial a acionar uma cadeia de infecção. Para ajudar os profissionais de segurança cibernética a identificar oportunamente a presença maliciosa em seu ambiente, a plataforma da SOC Prime seleciona uma nova regra Sigma para deteção de ransomware Magniber. O algoritmo de detecção elaborado por nosso perspicaz desenvolvedor do Programa Threat Bounty Aykut Gurses detecta atividade de arquivo JavaScript que inicia a infecção por ransomware Magniber. Siga o link abaixo para acessar instantaneamente esta regra Sigma e todo o contexto relevante, incluindo referências do MITRE ATT&CK® , links de mídia, inteligência de ameaças e binários executáveis:
Esta consulta de caça a ameaças baseada em Sigma pode ser aproveitada em 23 soluções SIEM, EDR e XDR e é avaliada em relação ao framework MITRE ATT&CK abordando a tática de Impacto com as respectivas técnicas de Dados Criptografados para Impacto (T1486) e Inibir Recuperação do Sistema (T1490).
Caçadores de ameaças e engenheiros de detecção ansiosos para aprimorar e monetizar suas habilidades em Sigma & ATT&CK podem juntar-se às fileiras do desenvolvimento colaborativo e participar do nosso Programa Threat Bounty. Submeta suas próprias detecções, construa seu perfil de habilidades técnicas e compartilhe sua expertise com colegas da indústria.
Para defender-se proativamente contra todos os ataques existentes e emergentes de ransomware Magniber, clique no botão Explorar Detecções e acesse instantaneamente toda a coleção de regras Sigma enriquecidas com contexto relevante juntamente com suas traduções. Sem compromissos — o acesso às detecções e seu contexto de ameaça cibernética está disponível sem registro.
Análise de Ransomware Magniber: Ataques Recentes Espalhando Infecção Por Meio de Arquivos JavaScript
Uma nova onda de ataques de ransomware Magniber causa alvoroço na arena de ameaças cibernéticas. Operadores do ransomware Magniber espalham amostras maliciosas por meio de arquivos JavaScript disfarçados como atualizações de segurança, afetando versões do Windows 10 e 11. De acordo com o último relatório dos especialistas da HP Threat Research , os atacantes exigem que os usuários comprometidos paguem um resgate de até $2.500 para descriptografar e recuperar seus dados infectados. Notavelmente, em campanhas adversárias anteriores, o ransomware Magniber era entregue via arquivos MSI e EXE, agora mudando para técnicas de JavaScript típicas dos ataques mais recentes.
A cadeia de infecção do Magniber nos ataques em andamento começa com o download de arquivos ZIP maliciosos contendo JavaScript, que são disfarçados como atualizações falsas de anti-vírus da atualização de software do Windows 10. Uma vez extraído o arquivo ZIP e baixado o JavaScript, os dispositivos vulneráveis são infectados com cadeias de ransomware que criptografam arquivos. Os arquivos JavaScript maliciosos utilizados pelos operadores do ransomware Magniber são ofuscados e aplicam técnicas sofisticadas de evasão de detecção, como a semelhante ao “DotNetToJScript” ao rodar um arquivo .NET na memória do sistema e tentando evitar a detecção pelo software antivírus. O arquivo .NET decodifica o shellcode, que remove arquivos de cópias de sombra do sistema comprometido e desativa as capacidades de backup e recuperação de dados por meio das utilitários correspondentes do Windows, permitindo que os atores da ameaça aumentem suas chances de receber um resgate. Para excluir arquivos de cópias de sombra e bloquear as configurações de recuperação do Windows, o Magniber usa o recurso UAC (Controle de Conta de Usuário) do Windows, que permite aos atacantes executar operações com privilégios elevados. Nas etapas finais do ciclo de vida do ataque, o ransomware Magniber criptografa arquivos e deixa notas de resgate direcionadas a usuários comprometidos com os detalhes da recuperação de arquivos após o pagamento.
Como medidas de mitigação de ransomware Magniber, os defensores cibernéticos recomendam usar contas de administrador para usuários domésticos apenas em caso de necessidade extrema, baixar programas e suas atualizações apenas de recursos web legítimos e confiáveis, e fazer backup contínuo dos dados do usuário para garantir proteção adequada do sistema e segurança dos dados.
Acesso imediato a mais de 650 regras únicas Sigma para detectar ransomware está a apenas alguns cliques de distância! Obtenha mais de 30 regras gratuitamente ou acesse todas as detecções sob demanda em http://my.socprime.com/pricing. Saiba mais sobre como detectar 95% mais rápido que seus pares e gerar valor imediato sob demanda aqui.
