Cómo fortiedr detecta y bloquea Revil Ransomware (también conocido como sodinokibi)

Consulta técnica sobre FortiEDR

Descripción


El ransomware  es un tipo específico de malware que retiene datos como rehenes a cambio de un rescate. Amenaza con publicar, bloquear o corromper datos, o impedir que un usuario acceda a su computadora a menos que cumpla con las demandas del atacante.

 

 

La operación Revil Ransomware-as-a-Service (RaaS), también conocida como Sodinokibi,  surgió poco antes de que los autores de GandCrab supuestamente se retiraran y rápidamente se convirtió en una de las mayores amenazas de ransomware.


Modo de protección

 

Cuando la política de seguridad está configurada en modo de protección, FortiEDR evita que el ransomware Revil se ejecute tan pronto como se accede a él. FortiEDR detecta esta variante como W32/Kryptik.HCJV!tr.ransom.



Modo de simulación (solo registro)

 

En el modo de simulación, FortiEDR no bloquea la actividad maliciosa, solo registra y alerta las violaciones de las políticas de seguridad de FortiEDR. Echemos un vistazo a todos los eventos que FortiEDR ha desencadenado para el ransomware Revil.

 

  • Acceso de escritura de archivos:

 

El ransomware Revil intenta encriptar el  Administrador de arranque de Windows ( bootmgr) que  evita que la víctima arranque el sistema comprometido. La regla File Encryptor de la política de prevención de ransomware de FortiEDR detecta y bloquea la operación de escritura de archivos.



  • Descubrimiento de recursos compartidos de red:

 

El ransomware  se dirige a los recursos compartidos de SMB en red  intentando enumerar todos los recursos compartidos de bloque de mensajes del servidor (SMB) de la red abierta y cifrar los que se encuentran. FortiEDR detecta y bloquea la actividad de la red.





  • Deteccion de redes:
Artículos relacionados  Cómo fortiedr detecta printnightmare CVE-2021-34527

 

El ransomware intenta habilitar el descubrimiento de redes usando netsh.exe. Network Discovery permite ver otras computadoras y dispositivos conectados a la misma red. También permite transferir archivos entre los dispositivos conectados en la red. Con Network Discovery habilitado, los datos transmitidos entre las computadoras o dispositivos conectados podrían interceptarse a través de la detección de redes. La regla de ejecución de secuencias de comandos sospechosas de la política de prevención de ejecución de FortiEDR detecta y bloquea esta actividad.



El ransomware ejecuta el comando » netsh.exe advfirewall firewall set rule group=Network Discovery new enable=Yes » para permitir el descubrimiento de la red, que es capturado por el análisis automatizado de FortiEDR.



  • Modificar la configuración del sistema operativo:

 

FortiEDR ha detectado el ransomware que intenta modificar el registro del sistema. Después de cifrar con éxito todos los archivos de usuario, el ransomware Revil modifica la clave de registro para cambiar el fondo de escritorio.



  •  Acceso WMI:

 

El ransomware ejecuta el proceso  Unsecapp.exe a través de COM.  Unsecapp.exe  es un proceso firmado por Microsoft, parte de  WMI  (Instrumentación de administración de Windows)WMI se utiliza para comunicarse con sistemas locales y remotos y para realizar tácticas como la recopilación de datos para el descubrimiento y la ejecución remota de archivos como parte del movimiento lateral. La siguiente creación de procesos se captura con la función de búsqueda de amenazas de FortiEDR v5.



  • Creación de archivos

 

Después de cifrar los archivos de usuario, se elimina la nota de ransomware “ 6rgzi0fbw-readme.tx t . La política de exfiltración de FortiEDR detecta y bloquea la creación de nuevos archivos.

Artículos relacionados  Solicitud e instalación de un colector

 


  • Nota de ransomware


 


Caza de amenazas

 

El valor del registro modificado por el ransomware se puede ubicar mediante la función de búsqueda de amenazas v5 de FortiEDR.





Después de cifrar los datos del usuario, el ransomware suele cambiar el nombre de los archivos. La cantidad de archivos renombrados es bastante grande, y cambiar el nombre de tantos archivos es inusual para cualquier proceso legítimo. Una tasa inusualmente alta de cambio de nombre de archivo podría ser un signo de actividad de ransomware. El tipo «Renombrar archivo» se puede utilizar para controlar este comportamiento.




MITRE ATT&CK

           

Descubrimiento de configuración de red del sistema            T1016 

Descubrimiento de recursos compartidos de red T1135 

T1486  Datos cifrados para impacto

T1112  Modificar registro
T1047  Instrumentación de administración de Windows

 Ejecución de scripts y comandos T1059


COI

04419b76566142902680b2c44b216905b44a5743502530066e408bac72d20864

d74f04f0b948d9586629e06e2a2a21bdf20d678e47058afb637414eb3701c1f6




El Servicio de Detección y Respuesta Administrada (MDR) de FortiGuard está diseñado para clientes de la plataforma avanzada de seguridad de punto final FortiEDR. Este equipo de expertos en amenazas monitorea, revisa y analiza cada alerta, busca amenazas de manera proactiva y toma medidas en nombre de los clientes para garantizar que estén protegidos de acuerdo con su perfil de riesgo. 


¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *