Regra da Semana: Detecção de Ransomware VHD

Acreditamos que hoje merecidamente damos o título de Regra da Semana à regra Sigma exclusiva desenvolvida por Osman Demir para habilitar a detecção do ransomware VHD: https://tdm.socprime.com/tdm/info/jxteY8ELY6Yd/BwSPn3MBPeJ4_8xcn22h/?p=1 

Os primeiros ataques usando essa cepa de ransomware começaram em março de 2020 e, somente recentemente, os pesquisadores os vincularam ao Lazarus APT. Isso foi facilitado pela detecção em alguns ataques do uso da estrutura multiplataforma MATA, que é usada exclusivamente por este notório ator de ameaças norte-coreano; as regras para detectar a estrutura foram publicadas no início desta semana..

Em alguns ataques, os adversários usaram uma ferramenta de propagação que disseminou o ransomware dentro da rede. A ferramenta é criada após um reconhecimento detalhado e coleta de credenciais administrativas e endereços IP utilizados para força bruta do serviço SMB em todas as máquinas descobertas.

O grupo Lazarus é provavelmente o único ator de ameaças patrocinado por um estado que lida com crimes cibernéticos financeiros. Em ataques recentes, o grupo explorou um gateway VPN vulnerável, obteve privilégios administrativos, implantou uma backdoor no sistema comprometido e foi capaz de assumir o controle do servidor Active Directory. Curiosamente, antes do início dos ataques de ransomware VHD, o Lazarus APT foi visto usando o malware TrickBot para acessar as redes das vítimas.

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto

Técnicas: Dados Criptografados para Impacto (T1486)

Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.