Detector de Ransomware Smaug (Comportamento Sysmon)

Blog

Setembro 11, 2020

2 min de leitura

Detector de Ransomware Smaug (Comportamento Sysmon)

Eugene Tkachenko
Eugene Tkachenko Líder do Programa Comunitário linkedin icon Seguir

Add to my AI research

ChatGPT icon Perplexity icon ClaudeAI icon Gemini icon

Inscreva-se no Resumo Semanal

Exclusivo para usuários SOC Prime

Newsletter Icon

Hoje gostaríamos de chamar sua atenção para uma ameaça relativamente recente e conteúdo para sua detecção. O Smaug Ransomware-as-a-Service apareceu nos radares dos pesquisadores no final de abril de 2020, os atacantes procuram afiliados exclusivamente em fóruns da Dark Web de língua russa e oferecem o uso de sua plataforma por um pagamento inicial bastante grande e 20% do lucro subsequente. Para atrair hackers experientes, os autores do malware em alguns fóruns sugeriram não pagar um adiantamento se os cibercriminosos puderem provar seus sucessos passados.

Como você deve imaginar, o projeto sobreviveu e encontrou seus seguidores, apesar da simplicidade do malware e da necessidade do lado do usuário de se preocupar com meios adicionais de ocultar o código malicioso. Afiliados que usam o ransomware Smaug têm acesso a um painel onde podem rastrear suas campanhas e criar cargas para atacar tanto organizações quanto indivíduos. Smaug é escrito em Golang, e os pesquisadores descobriram amostras que visam tanto sistemas Windows quanto Linux e utilizam chave pública RSA durante o processo de criptografia. Ele pode funcionar completamente offline sem a necessidade de uma conexão de rede, e seus autores incentivam ataques internos a sistemas que, de outro modo, não seriam tão vulneráveis a ataques de ransomware.

O participante do programa Threat Bounty, Lee Archinal publicou uma regra de caça de ameaças exclusiva que detecta as características do ransomware Smaug: https://tdm.socprime.com/tdm/info/mgOahtIfjNtc/dGS4d3QBQAH5UgbB3bJU/?p=1

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Impacto

Técnicas: Dados Criptografados para Impacto (T1486)

 

Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Cadastre-se Gratuitamente Agendar uma Reunião

More Blog Articles

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Zahorulko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Zahorulko Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware 4 min de leitura Ameaças Mais Recentes Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware by Veronika Zahorulko