Detecção de Ataques de Ransomware Quantum: Malware Implantado em Velocidade Relâmpago
Índice:
O ransomware Quantum tem estado no centro das atenções desde o final do verão de 2021, estando envolvido em intrusões de alta velocidade e dinamicamente escalonadas que deixaram os ciberdefensores com uma janela curta para detectar e mitigar ameaças a tempo. De acordo com a pesquisa de cibersegurança DFIR, o último ataque de ransomware Quantum observado classifica-se como um dos casos mais rápidos que levou menos de 4 horas para implantar ransomware após comprometer o ambiente alvo.
Detectar Ransomware Quantum: Regras Sigma
Para revelar proativamente os notórios ataques Quantum contra o ambiente da sua organização, você pode aproveitar um conjunto de regras Sigma selecionadas fornecidas pelos nossos dedicados desenvolvedores de Threat Bounty Emir Erdogan and Nattatorn Chuensangarun.
Ransomware Quantum usa Cobalt Strike Beacon (via pipe_event)
Detecção de Comportamento Suspeito de Ransomware Quantum (via process_creation)
Possível Persistência de Ransomware Quantum por Tarefas Agendadas Criadas (via process_creation)
Possível Execução de Ransomware Quantum com Payload IcedID (via file_event)
Possível uso de Ransomware Quantum PsExec e WMI para Executar Ransomware (via process_creation)
Na visão de que a última rotina Quantum presume o uso de amostras de IcedID para desencadear a cadeia de infecção, encorajamos você a verificar o conteúdo de detecção destinado a identificar ataques relacionados ao IcedID. A lista completa das regras Sigma relevantes pode ser acessada na plataforma SOC Prime via o seguinte link.
Para acompanhar as atualizações das regras Sigma e acessar o conjunto abrangente de detecções para ransomware Quantum, clique no Ver Detecções botão abaixo. Ansioso para ajudar a comunidade de cibersegurança a resistir aos ataques cibernéticos desagradáveis e enriquecer a biblioteca de conteúdo com seu próprio conteúdo baseado em Sigma? Junte-se ao nosso programa Threat Bounty e receba recompensas recorrentes por sua contribuição.
Ver Detecções Junte-se ao Threat Bounty
Análise do Ataque de Ransomware Quantum
O ataque mais recente mostra o tempo recorde para resgate cobrindo menos de 4 horas. O ataque de ransomware começou com a implantação do payload de IceID na instância alvo distribuída via e-mail de phishing. Particularmente, os operadores de ransomware esconderam o IcedID dentro do arquivo ISO malicioso para passar pelas proteções de segurança de e-mail e garantir a infecção bem-sucedida. Em algumas horas desde o estágio inicial do ataque, os adversários desencadearam a atividade manual dropando malware Cobalt Strike usado para acesso remoto e roubo de informações. Para estabelecer a propagação lateral descomplicada, os atores da ameaça descartaram credenciais de Domínio do Windows com a ajuda do LSASS criando conexões RDP para servidores acessíveis dentro da rede. Finalmente, os hackers enviaram o payload Quantum usando as utilidades WMI e PsExec para criptografar os ativos de interesse.
Quem é o Quantum Locker?
Ransomware Quantum (também conhecido como Quantum Locker) é um sucessor do MountLocker RaaS inicialmente revelado no final de 2020. Desde então, os operadores mudaram frequentemente seu produto malicioso sob títulos como AstroLocker ou XingLocker. No verão de 2021, uma amostra do Quantum Locker começou a circular na web. Segundo relatórios, as demandas de resgate para decriptação variam significativamente, indo de $150.000 a pagamentos de $3-4 milhões. Além disso, os adversários aplicam a abordagem de dupla extorsão para adicionar ainda mais pressão sobre as vítimas do Quantum Locker.
Para reforçar as capacidades de defesa cibernética proativa, as organizações progressivas confiam em uma abordagem colaborativa de defesa cibernética. Junte-se à plataforma Detection as Code da SOC Prime para acompanhar constantemente o volume crescente de ataques e abordar as ameaças mais recentes em menos de 24 horas.
