Cómo fortiedr protege contra fivehands Ransomware

Consulta técnica sobre FortiEDR

Descripción

El ransomware es un tipo específico de malware que retiene datos como rehenes a cambio de un rescate. Amenaza con publicar, bloquear o corromper datos, o impedir que un usuario acceda a su computadora a menos que cumpla con las demandas del atacante.

 

 

FiveHands es una nueva variante de ransomware que utiliza un esquema de cifrado de clave pública llamado NTRUEncrypt. La carga útil de FiveHands es un archivo ejecutable de 32 bits que se utiliza para cifrar archivos en el sistema de la víctima para obtener un rescate. Cuando se ejecuta el ransomware, enumerará los archivos y las carpetas del sistema y cifrará los archivos con las extensiones .txt, .chm, .dat, .ocx, .js, .tlb, .vbs, .sys, .lnk, . xml, .jpg, .log, .zip, .htm, .ini, .gif, .html, .css y otros. Los archivos clave del sistema no están encriptados.

 

 

Solución

Pre-Ejecución:

 

FortiEDR evita que la carga útil del ransomware FiveHands se ejecute en modo de prevención tan pronto como se accede. FortiEDR detecta esta variante como W32/Filecoder de FortiEDR.

 

 

Post-Ejecución:

 

Veamos cómo FortiEDR detecta y bloquea este ransomware cambiando al modo de simulación. En el modo de simulación, FortiEDR genera eventos pero no los bloquea, lo que permite que el ransomware se ejecute por completo.

 

1.      Escritura de archivo

 

El ransomware FiveHands intenta cifrar el Administrador de arranque de Windows (bootmgr), lo que ayuda al inicio del sistema operativo. FortiEDR detecta y bloquea la operación de escritura de archivos.

 

 

2.      Acceso al servicio WMI

Artículos relacionados  Fortiedr - Gráfico de la última versión de lanzamiento

 

 

El ransomware FiveHands está intentando acceder al servicio de Instrumental de administración de Windows (WMI) para frustrar la recuperación de datos. Enumera las instantáneas de volumen con el comando «seleccionar * de Win32_ShadowCopy» y luego elimina las copias por ID (Win32_ShadowCopy.ID). FortiEDR detecta y bloquea la operación de acceso al servicio WMI.

 

 

 

3.      Escritura de archivo

 

 

Después de cifrar los archivos del usuario, se suelta una nota de ransomware con la información de contacto del actor y las instrucciones sobre cómo contactarlo. FortiEDR detecta que se eliminan nuevos archivos y genera un evento de bloqueo.

 

 

 

Caza de amenazas:

 

 

ServeManager.exe (FiveHands Ransomware loader) es un archivo ejecutable de 32 bits que se ejecuta mediante PsExec.exe, la herramienta de administración remota de Microsoft Sysinternals.

 

 

psexec.exe -d @comps.txt -s -relatime -c ServeManager.exe -key 

 

 

Los argumentos se definen de la siguiente manera:

 

          -d Ejecute psexec.exe sin ningún aviso.

 

           @ Acceda de forma remota a esta lista de nombres de host/direcciones IP.

 

          -s Ejecute el programa con privilegios de nivel de sistema.

 

          -relatimeEsto es un error tipográfico. Esto debería ser en tiempo real, o ejecutar este proceso antes que cualquier otro proceso.

 

          -c Copie el programa al sistema remoto antes de ejecutarlo.

 

 

 

Cuando se ejecuta este programa, cargará el módulo de ransomware en la memoria, que luego se decodificará utilizando la clave proporcionada. A continuación, se examina la carga útil del ransomware para asegurarse de que contiene un encabezado PE antes de ejecutarse.

Artículos relacionados  Cómo actualizar fortiedr On-Prem

 

 

 

La función Threat Hunting de FortiEDR (v5) ayuda a cazar el cargador de ransomware con la siguiente consulta y también se puede programar para que se ejecute automáticamente para notificar eventos que coincidan con la consulta.

 

 

 

 

FortiEDR detecta y desactiva eficazmente esta amenaza en tiempo real. Estos pasos evitan la exfiltración de datos, las comunicaciones de comando y control (C&C), la manipulación de archivos y el cifrado de ransomware.

 

 

COI:

39ea2394a6e6c39c5d7722dc996daf05

f568229e696c0e82abb35ec73d162d5e

 

El Servicio de Detección y Respuesta Administrada (MDR) de FortiGuard está diseñado para clientes de la plataforma avanzada de seguridad de punto final FortiEDR. Este equipo de expertos en amenazas monitorea, revisa y analiza cada alerta, busca amenazas de manera proactiva y toma medidas en nombre de los clientes para garantizar que estén protegidos de acuerdo con su perfil de riesgo. 

 

 

¡Déjanos cualquier duda sobre FortiEDR aquí abajo!

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *