Nieuwe ransomware genaamd LooCipher is gevonden in het wild

Volgens Bleeping Computer is een nieuwe ransomware genaamd LooCipher in het wild gevonden. https://www.bleepingcomputer.com/news/security/new-loocipher-ransomware-spreads-its-evil-through-spam/   Op de gebruikelijke manier heeft het invloed op gebruikers via spam. Nietsvermoedende gebruikers openen de phishing-e-mail, klikken op de link, geven het bestand toestemming om macro's te gebruiken en krijgen uiteindelijk het schadelijke bestand geïnstalleerd.

In 2011 krijgt Lockheed Martin het idee van een kill-chain op het gebied van cyberbeveiliging. De kill-chain voor cyberveiligheid, zoals ontworpen, organiseert bedreigingen in categorieën en beveiligingscontroles die in die categorieën kunnen worden ingezet om die risico's te verkleinen. Als we de kill-chain toepassen op de Loocipher ransomware, zien we het volgende:

1. De phishing-e-mail, in de categorie bezorging, had moeten worden opgevangen door commerciële tools voor e-mailbeveiliging.
2. Het dropper-bestand (Info_BSV_2019.docm), in de bezorgingscategorie, had zowel door malwaretools als door andere AV-tools moeten zijn opgevangen. Merk op dat de eindgebruiker in dit geval de macro's moest laten draaien. Gebruikersbewustzijn is nog steeds essentieel om zich tegen dit soort aanvallen te verdedigen!
3. Nadat de macro's zijn ingeschakeld, neemt de malware contact op met een TOR-server om een ​​ander bestand te downloaden (http://hcwyo5rfapkytajg.onion.pet/3agpke31mk.exe) .In dit geval had dit ook in de command and control moeten zijn gedetecteerd als leveringscategorie. Deze categorieën worden meestal verdedigd door tools voor bedreigingsinformatie, malwaretools en hostgebaseerde tools.
4. Ten slotte wordt een nieuw bestand (c2056.ini) gemaakt en begint het bestandscoderingsproces. Deze aanmaak van bestanden en daaropvolgende versleuteling moet worden opgevangen in de categorie acties en exfiltratie en moet worden beschermd door tools zoals bedreigingsinformatie, detectie van procesafwijkingen, firewalls en malwaretools.

Waar in de cyber kill-chain geen rekening mee werd gehouden, was de opkomst van machine learning en AI. Door deze tools toe te passen op de gegevens in elke categorie van de kill-chain, worden we beter in staat om het afwijkende gedrag in elke categorie op te vangen, en wordt de beperking voor elke categorie verbeterd door de detecties te correleren.

Starlight zet zich in om ons Unified Security Analytics Platform te gebruiken om dit soort gedrag te detecteren, te waarschuwen en erop te reageren. Onze alomtegenwoordige gegevensverzameling, in combinatie met geavanceerde gegevensverwerking en machine learning, geeft ons meerdere gebieden waar we dit soort aanvallen in de cyber kill-chain kunnen detecteren. Als de aanval in een fase van de kill-keten wordt gemist, vangen we deze in een andere fase op. Eenmaal gedetecteerd, hebben we de mogelijkheid om geautomatiseerde actie te ondernemen tegen dit abnormale gedrag. Door onze technologie toe te passen op de Loocipher-ransomware, zouden we deze mogelijk op de volgende manieren detecteren en verminderen:

1. Onze phishing-detectie zou de kwaadaardige URL evalueren en het risico ervan verkleinen
2. Het dropper-bestand waarnaar hierboven wordt verwezen, zou zijn geëvalueerd door onze malwaretool en beperkt.
3. Als het dropper-bestand de malwaretest had doorstaan, zou de serversensor de gedragsverandering hebben opgevangen (dwz een nieuw proces wordt voortgebracht met een nieuwe verbinding met de TOR-server).
4. Als het dropper-bestand de malware- en serversensorbeoordeling heeft doorstaan, kan de aanroep naar de TOR-server op netwerkniveau zijn afgezwakt. Het Starlight-platform zou de netwerkfirewalls hebben gesignaleerd om een ​​blok naar de doelserver te implementeren.
5. De nieuwe bestandsdownload (http://hcwyo5rfapkytajg.onion.pet/3agpke31mk.exe) kan zijn opgevangen en beperkt bij de serversensor of malwarebeoordeling.
6. Ten slotte zou het coderingsproces worden gedetecteerd door de serversensor en worden mitigatietechnieken toegepast om te voorkomen / stoppen dat het proces wordt voortgezet.

Ransomware is een enorme industrie. Back-ups zijn essentieel, maar diepgaande verdediging ook. Als je je omgeving niet beschermt in de verschillende stadia van de kill-chain, zou je dit moeten overwegen. Als je moeite hebt om deze concepten te implementeren omdat je te veel tools hebt die niet samenwerken, bel ons dan. Wij kunnen helpen!