Regra da Semana: Ransomware Thanos

Hoje na seção Regra da Semana, sugerimos prestar atenção à regra publicada por Emir Erdogan. A nova regra ajuda a detectar o ransomware Thanos, que utilizou a tática RIPlace para contornar soluções anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1

O ransomware Thanos apareceu pela primeira vez no final do ano passado, e seus autores o anunciaram em fóruns subterrâneos e canais fechados. Ele é distribuído como Ransomware-como-um-Serviço, fornecendo até mesmo para atacantes sem habilidades uma ferramenta personalizada para criar cargas úteis exclusivas. O ransomware Thanos é mais complexo do que muitos serviços de ransomware baseados em constructores anteriores. Muitas das opções disponíveis no construtor Thanos são projetadas para evadir soluções de segurança. Recursos avançados do ransomware também incluem múltiplas opções de persistência, dados de montagem aleatórios, Anti-VM / evasão de VM, encerramento do Windows Defender e outros produtos AV, e opções de disseminação configuráveis. Recentemente, os autores do ransomware adicionaram o uso do RIPlace para evitar detecção. Thanos é a primeira família de ransomware que usa a tática RIPlace. Esta é uma técnica do sistema de arquivos do Windows, que pode ser usada para alterar arquivos maliciosamente, permitindo que o ransomware evite a detecção.

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto, Evasão de Defesa, Descoberta

Técnicas: Dados Criptografados para Impacto (T1486), Desativando Ferramentas de Segurança (T1089), Descoberta de Software de Segurança (T1063), Descoberta de Software (T1518)