Detector de Ransomware Smaug (Comportamento Sysmon)

Hoje gostaríamos de chamar sua atenção para uma ameaça relativamente recente e conteúdo para sua detecção. O Smaug Ransomware-as-a-Service apareceu nos radares dos pesquisadores no final de abril de 2020, os atacantes procuram afiliados exclusivamente em fóruns da Dark Web de língua russa e oferecem o uso de sua plataforma por um pagamento inicial bastante grande e 20% do lucro subsequente. Para atrair hackers experientes, os autores do malware em alguns fóruns sugeriram não pagar um adiantamento se os cibercriminosos puderem provar seus sucessos passados.

Como você deve imaginar, o projeto sobreviveu e encontrou seus seguidores, apesar da simplicidade do malware e da necessidade do lado do usuário de se preocupar com meios adicionais de ocultar o código malicioso. Afiliados que usam o ransomware Smaug têm acesso a um painel onde podem rastrear suas campanhas e criar cargas para atacar tanto organizações quanto indivíduos. Smaug é escrito em Golang, e os pesquisadores descobriram amostras que visam tanto sistemas Windows quanto Linux e utilizam chave pública RSA durante o processo de criptografia. Ele pode funcionar completamente offline sem a necessidade de uma conexão de rede, e seus autores incentivam ataques internos a sistemas que, de outro modo, não seriam tão vulneráveis a ataques de ransomware.

O participante do programa Threat Bounty, Lee Archinal publicou uma regra de caça de ameaças exclusiva que detecta as características do ransomware Smaug: https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Impacto

Técnicas: Dados Criptografados para Impacto (T1486)

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.