Detecção YourCyanide: Nova Variante de Ransomware Auto-Propagante
Índice:
Nova variante de ransomware segue os passos do ransomware GonnaCope, o primeiro da família de ransomware baseado em CMD que surgiu pela primeira vez em abril de 2022. Outras amostras semelhantes que foram carregadas no VirusTotal em maio de 2022 são conhecidas como Kekpop e Kekware.
O jogador emergente é apelidado de YourCyanide e, presumivelmente, tem tudo para se tornar a próxima grande ameaça. Os dados recuperados dos ataques mostram que a cepa de ransomware ainda não criptografa nenhum arquivo; todo o dano documentado é que ele os renomeia, causando grande inconveniente aos usuários afetados. A variante de difícil detecção abusa de links da Microsoft, PasteBin e Discord para soltar a carga maliciosa e se propagar.
Pesquisadores descobriram que a última variante da família de ransomware baseado em CMD pode capturar informações do usuário e evadir detecção aproveitando suas múltiplas camadas de ofuscação.
Detectar YourCyanide
The Regras Sigma abaixo, liberado por nossos perspicazes desenvolvedores do Threat Bounty Aytek Aytemur and Osman Demir, permitem a detecção sem esforço dos últimos ataques envolvendo o ransomware YourCyanide:
Execução Suspeita do YourCyanide pela Detecção de Comandos Associados (via cmdline)
As regras estão alinhadas com o mais recente framework MITRE ATT&CK® v.10. abordando as táticas de Impacto e Execução com as técnicas Encriptação de Dados para Impacto (T1486) e Interpretador de Comando e Scripts (T1059).
Registre-se na Plataforma SOC Prime para aumentar sua velocidade de caça a ameaças com mais de 185.000 algoritmos de detecção que se integram à sua solução SIEM, EDR e XDR. Para acessar a biblioteca exaustiva de regras Sigma para detectar ameaças de ransomware cibernético, clique no Detect & Hunt botão abaixo.
Para obter maior visibilidade das ameaças que passam pela sua rede, navegue em um cenário de ameaças em constante mudança com uma solução inovadora da SOC Prime – o Cyber Threat Search Engine. O Search Engine está disponível gratuitamente e não requer registro. Experimente clicando no Explore Threat Context botão.
Detect & Hunt Explore Threat Context
Análise YourCyanide
De acordo com os dados disponíveis, a variante descende do ransomware GonnaCope, que foi o primeiro da série de cepas de ransomware baseadas em CMD, agora sob observação próxima dos pesquisadores de segurança. O ransomware YourCyanide foi analisado minuciosamente pela equipe de Caça a Ameaças da Trend Micro. Os usuários em uma rede comprometida receberam uma nota afirmando que seu sistema foi violado e o aviso seguido, indicando que “Kekware e Kekpop (duas variantes anteriores) foram apenas o começo”.
Os dados de pesquisa mostram que as cepas dessa família de ransomwares ainda estão em sua fase de desenvolvimento, então os analistas não sabem o que esperar quando elas evoluírem e alcançarem todo o seu potencial.
A variante YourCyanide também permite o roubo de credenciais, comprometendo uma série de aplicativos como Chrome, Discord e Microsoft Edge.
Especialistas em cibersegurança são mais do que bem-vindos para se juntar ao Programa de Recompensa de Ameaças para publicar conteúdo SOC na plataforma líder da indústria e serem recompensados por suas valiosas contribuições. Aproveite a oportunidade para elevar sua rotina de defesa & detecção!
