Detecção do Ransomware SolidBit: Variante Nova Alveja Usuários de Jogos Populares e Plataformas de Mídia Social
Índice:
Ataques de ransomware se tornaram uma tendência em constante crescimento na arena de ameaças cibernéticas desde 2020, que continua em ascensão em 2021-2022. Pesquisadores de cibersegurança recentemente descobriram uma nova variante de ransomware SolidBit, que tem como alvo jogadores e usuários de redes sociais. A nova cepa de malware foi encontrada em estado selvagem, sendo carregada no GitHub e disfarçada como aplicativos populares para atrair vítimas em potencial a executá-los. Uma vez lançados, os arquivos de isca executam códigos maliciosos em PowerShell que implantam ransomware nos dispositivos alvo.
Detectar Nova Variante do Ransomware SolidBit
Com volumes crescentes de ataques de ransomware sofisticados e uma ampliação do escopo das atividades de ransomware como serviço (RaaS), os defensores cibernéticos estão em busca de maneiras inovadoras para reforçar a postura de cibersegurança de suas organizações. A plataforma Detection as Code da SOC Prime lançou recentemente um conjunto de regras Sigma para detectar o ransomware SolidBit criado por nossos atentos desenvolvedores do Programa de Recompensa por Ameaças, Furkan Celik and Osman Demir. Usuários registrados da SOC Prime podem acessar as consultas dedicadas de caça a ameaças seguindo o link abaixo:
Regras Sigma para detectar ransomware SolidBit
Ambas as detecções são compatíveis com as soluções líderes do setor em SIEM, EDR e XDR, suportadas pela plataforma da SOC Prime, e estão alinhadas com o framework MITRE ATT&CK abordando a tática de Impacto com a técnica correspondente de Dados Criptografados para Impacto (T1486). Além disso, a regra Sigma dedicada de Furkan Celik também aborda a tática de Execução do ATT&CK representada pela técnica de Execução pelo Usuário (T1204).
Praticantes de cibersegurança habilidosos buscando enriquecer suas habilidades de Engenharia de Detecção e Caça a Ameaças podem se juntar às fileiras do nosso Programa de Recompensa por Ameaças para fazer sua própria contribuição à expertise coletiva da indústria. Participar do Programa permite que os autores de conteúdo de detecção moneticem suas habilidades profissionais enquanto ajudam a construir um futuro digital mais seguro.
Para se manter atualizado sobre os ataques de ransomware em rápida evolução, equipes de segurança podem aproveitar toda a coleção de regras Sigma relevantes disponíveis na plataforma da SOC Prime clicando no botão Detectar e Caçar abaixo. Para uma investigação de ameaças simplificada, usuários não registrados da SOC Prime também podem se beneficiar de nosso Motor de Busca de Ameaças Cibernéticas e explorar a informação contextual abrangente relacionada ao ransomware, incluindo referências MITRE ATT&CK e CTI e mais metadados relevantes clicando no botão Explorar Contexto da Ameaça abaixo.
Detectar e Caçar Explorar Contexto da Ameaça
Descrição do SolidBit
O ransomware SolidBit, um jogador relativamente novo na arena de ameaças cibernéticas, é um sucessor do notório ransomware Yashma/Chaos. Pesquisadores de segurança acreditam que os mantenedores do SolidBit trabalham em estreita colaboração com os desenvolvedores do Yashma para aprimorar algumas funcionalidades do construtor Chaos e depois vão para o mercado clandestino, marcando-o como SolidBit.
A modificação mais recente, promovida como variante 3.0 do SolidBit, é compilada com .NET e, de acordo com a investigação da Trend Micro, utiliza uma cadeia de ataque incomum para alcançar infecções em massa. Notavelmente, os operadores do ransomware SolidBit empurraram a carga maliciosa para o GitHub, mascarando a ameaça dentro de ferramentas de jogos e bots de redes sociais.
A última campanha espalha uma ferramenta falsa de verificação de contas do League of Legends e um bot de seguidores do Instagram. Caso uma vítima baixe o aplicativo do GitHub e o execute, o aplicativo malicioso executa prontamente um código em PowerShell que eventualmente solta a carga do SolidBit. Antes da criptografia, o ransomware aplica um conjunto de truques de depuração e ofuscação juntamente com o encerramento de serviços e a exclusão de cópias de sombra para escapar do radar.
Além das melhorias na funcionalidade principal, os mantenedores do SolidBit se esforçam para expandir sua rede maliciosa aplicando o modelo RaaS. Notavelmente, em 30 de junho de 2022, pesquisadores de segurança avistaram anúncios de emprego em fóruns subterrâneos para engajar novos afiliados do SolidBit RaaS.
As novas táticas apontam para o aumento da sofisticação da cepa SolidBit, que é uma tendência comum na arena de ransomware. À medida que os ataques crescem em escopo e escala, pesquisadores de segurança requerem ferramentas inovadoras para detectar ameaças emergentes e ficar um passo à frente dos atacantes. Junte-se à plataforma Detection as Code da SOC Prime para detectar os últimos ataques com a maior coleção de regras Sigma do mundo, melhorar a fonte de logs e a cobertura do MITRE ATT&CK e contribuir ativamente para fortalecer as capacidades de defesa cibernética de sua organização. Caçadores de Ameaças e Engenheiros de Detecção experientes são mais do que bem-vindos para se juntar à Programa de Recompensa por Ameaças – iniciativa de crowdsourcing da SOC Prime, para compartilhar seus algoritmos de detecção com a comunidade de cibersegurança, contribuir para a defesa cibernética colaborativa e ganhar pagamentos repetidos por sua contribuição.
