Regra da Semana: Detecção de Ransomware Nefilim/Nephilim

Esta semana queremos destacar a regra Sigma da comunidade por Emir Erdogan que ajuda a detectar o ransomware Nefilim/Nephilim usado em ataques destrutivos. Esta família de ransomware foi descoberta pela primeira vez há dois meses, e seu código é baseado no ransomware NEMTY, que surgiu no verão passado como um programa de afiliados público. Parece que o NEMTY foi bifurcado em dois projetos separados, já que suas operações de RaaS se tornaram privadas, ou os adversários venderam o código-fonte para outro grupo. O ransomware Nephilim foi usado em várias campanhas danosas que ameaçam publicar os dados roubados das vítimas se a vítima decidir não pagar o resgate. Os atacantes comprometem serviços RDP, estabelecem persistência, coletam credenciais adicionais para mover-se lateralmente e exfiltram dados antes de entregar as cargas úteis do ransomware a todos os sistemas disponíveis. A regra de Emir Erdogan pode detectar o início do ataque, permitindo que você aja antes que todos os seus sistemas sejam criptografados: https://tdm.socprime.com/tdm/info/lC8zLKPM5tEv/mCFyDXIBjwDfaYjKjXen/?p=1

A Detecção de Ameaças é suportada para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, Sumo Logic

EDR: Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto, Execução, Evasão de Defesa

Técnicas: Dados Criptografados para Impacto (1486), Desabilitar Ferramentas de Segurança (1089), Inibir Recuperação do Sistema (T1490)

Emir Erdogan é participante ativo do SOC Prime Programa de Recompensa de Ameaças. Os usuários do TDM podem ver seu nome na seção Top Authors by Downloads nos Leaderboards, bem como visualizar todo o conteúdo publicado pelo autor no Threat Detection Marketplace.