One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8609479 |
| Date de publication | 2024-11-11 18:57:29 (vue: 2024-11-11 19:08:30) |
| Titre | Déballage de l\\\\\\\\\\'attaque de ransomware de verrouillage de verrouillage |
| Texte | ## Instantané La réponse aux incidents de Cisco Talos a observé le groupe de ransomwares de verrouillage se livrant à des attaques de chasse au grand jeu et à une double extorsion, ciblant des secteurs tels que les soins de santé, la technologie, le gouvernement aux États-Unis et la fabrication en Europe depuis son émergence en septembre 2024. ## Description Le groupe emploie une chaîne de livraison multi-composants, lançant son attaque via un site Web légitime compromis qui incite les victimes à télécharger un faux parcours de mise à jour du navigateur. Cet exécutable est un outil d'accès à distance (RAT) qui établit la persistance, collecte les informations système et communique avec un serveur de commande et de contrôle (C2). Les attaquants utilisent également un voleur d'identification, Keylogger et des outils comme AnyDesk, Putty et Azure Storage Explorer pour le mouvement latéral et l'exfiltration des données. Le ransomware de verrouillage, qui a à la fois des variantes Windows et Linux, chiffre les fichiers et ajoute l'extension «.Interlock», tout en évitant le chiffrement de certains dossiers système et extensions de fichiers. La variante Windows utilise un cryptage de chaînage de blocs de chiffre d'affaires (CBC) et la variante Linux utilise le cryptage CBC ou RSA. Le ransomware établit la persistance en créant une tâche quotidienne et peut se supprimer après le cryptage. Une note de rançon est configurée pour s'afficher pendant la connexion interactive à l'aide d'objets de stratégie de groupe, exigeant une réponse dans les 96 heures pour éviter les fuites de données et la notification médiatique. Talos IR note que les ransomwares de verrouillage peuvent avoir des connexions avec les opérateurs ou développeurs de ransomwares Rhysida, suggérés par des similitudes de tactique, de techniques et de procédures (TTPS), ainsi que les comportements des binaires des encryptateurs de ransomware. Les deux groupes utilisent Azcopy pour l'exfiltration des données et fournissent des notes de rançon qui offrent de l'aide plutôt que des menaces, indiquant une tendance de diversification et de collaboration entre les groupes de ransomwares. ## Recommandations Microsoft recommande les atténuations suivantes pour se défendre contre cette menace: - Gardez le logiciel à jour. Appliquez de nouveaux correctifs de sécurité dès que possible. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc) dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir Évolution rapide des outils et techniques d'attaquant. Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - Activer [Protection réseau] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/enable-network-protection?view=o365-worldwide?ocid=Magicti_TA_LearnDoc) . - Exécutez la détection et la réponse des points de terminaison [(EDR) en mode bloc] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/edr-in-lock-mode?ocid=Magicti_Ta_LearnDoc) pour que Microsoft Le défenseur du point final peut bloquer les artefacts malveillants, même lorsque votre antivirus non microsoft ne détecte pas la menace ou Lorsque Microsoft Defender Antivirus fonctionne en mode passif. EDR en mode bloc fonctionne dans les coulisses pour corriger les artefacts malveillants qui sont détectés post-abri. - Configurer [Investigation and remédiation] (https://learn.microsoff Sur les alertes pour résoudre les violations, réduisant considérablement le volume d'alerte. - Lisez notre [Ransomware Menace Présentation] (https://security.microsoft.com/Thereatanalytics3/05658B6C-DC62-496D-AD3C-C6A795A33C27/analyStreport) pour le développement d'une posture de sécurité holistique pour éviter Ransomware, y compris l'hygiène de |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | **© 2024 2024** 365/security/defender 496d access accessed action ad3c advanced advice after against age alert alerts all allow also among antivirus any anydesk appends apply are artifacts attack attacker attackers attacks attaque automated avoiding azcopy azure based behaviors behind big binaries block both breach breaches browser c6a795a33c27/analystreport can cbc certain chain chaining cipher cisco cloud collaboration collects com/defender com/emerging com/en com/microsoft com/threatanalytics3/05658b6c command common communicates component components compromised configured configure connections content control copyright cover creating credential criterion customers daily data date dc62 defend defender delete deliver delivered delivery demanding description detect detected detection detections/hunting detects developers developing display distribution diversification does domains double download downloaded during déballage edr emergence emerging employs enable encryption encryptor encrypts encyclopedia endpoint endpoint/attack endpoint/automated endpoint/configure endpoint/edr endpoint/enable engaging equivalent establishes europe even evolving executable execution exfiltration explorer extension extensions extortion fake file files first folders following from full game government group groups hardening has have healthcare help holistic hours https://blog https://learn https://security https://www hunting hygiene immediate incident including indicating information initiating interactive interlock interlock” investigation investigations its itself javascript keep keylogger lateral launching leaks learndoc learndoc#block learndoc#use learning legitimate like linux list login machine majority making malicious malware: manufacturing may media meet microsoft mitigations mode movement msr mtb multi name=trojan:win64/malgent network new news non not note notes notification obfuscated objects observed ocid=magicti offer onyx operators our overview pan part passive patches permission persistence policy possible post posture potentially prevalence prevent procedures product prohibited prompts protection protections putty queries ransom ransom:linux/interlock ransomware ransomware/ rapidly rat rather read recommendations recommends reducing reduction reference references remediate remediation remote reproduction reserved resolve response response rhysida rights rsa rules run running scenes scripts sectors security september server sight significantly similarities since site sleet: snapshot software soon stealer storage such suggested surface system tactics take talos talosintelligence targeting task techniques technology than thereof threat threat: threats through tool tools trend trojan:html/redirector trojan:win64/malgent trusted ttps turn unknown unless unwrapping updater us/wdsi/threats/malware use used uses using variant variants vbscript verrouillage victims view=o365 volume website well when which windows within without works worldwide written your for in in so |
| Tags | Ransomware Malware Tool Threat Prediction Medical Cloud |
| Stories | APT 45 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.