Le Centre japonais de réponse aux urgences informatiques (JPCERT / CC)a partagé des conseils sur la détection des attaques de différents gangs de ransomwares en fonction des entrées dans les journaux d’événements Windows, permettant une détection rapide des attaques en cours avant qu’elles ne se propagent trop loin dans un réseau.

JPCERT / CC affirme que la technique peut être utile pour répondre aux attaques de ransomware, et l’identification du vecteur d’attaque parmi diverses possibilités est cruciale pour une atténuation rapide.

Recherche de traces de ransomware dans les journaux d’événements
La stratégie d’investigation proposée par JPCERT / CC couvre quatre types de journaux d’événements Windows: les journaux d’application, de Sécurité, Système et d’installation.

Ces journaux contiennent souvent des traces laissées par les attaques de ransomware qui pourraient révéler les points d’entrée utilisés par les attaquants et leur « identité numérique ». »

Voici quelques exemples de traces de ransomware mises en évidence dans le rapport de l’agence:

  • Conti: Identifié par de nombreux journaux liés au Gestionnaire de redémarrage de Windows (ID d’événement: 10000, 10001).
Redémarrer Gérer les notifications des chiffreurs basés sur Conti

Des événements similaires sont générés par Akira, Lockbit3.0, Hello Kitty, Abysslocker, Avaddon, Bablock et d’autres logiciels malveillants créés à partir du chiffreur divulgué de Lockbit et Conti.

  • Phobos: Laisse des traces lors de la suppression des sauvegardes système (ID d’événement: 612, 524, 753). Des journaux similaires sont générés par base et Elbie.
  • Midas: Modifie les paramètres réseau pour propager l’infection, laissant l’ID d’événement 7040 dans les journaux.
  • Bad Rabbit: Enregistre l’ID d’événement 7045 lors de l’installation d’un composant de chiffrement.
  • Bisamware: Enregistre le début (1040) et la fin (1042) d’une transaction Windows Installer.
Journaux de ransomware de logiciels malveillants Bisa caractéristiques

JPCERT / CC note également que des variantes de ransomware apparemment sans rapport telles que Shade, GandCrab, AKO, AvosLocker, BLACK BASTA et Vice Society, laissent des traces très similaires (ID d’événement: 13, 10016).

Les deux erreurs sont causées par un manque d’autorisations lors de l’accès aux applications COM pour supprimer les clichés instantanés de volume, que le ransomware supprime généralement pour empêcher la restauration facile des fichiers cryptés.

Journaux des problèmes d’accès COM et VSCS

Il est important de noter qu’aucune méthode de détection ne doit être considérée comme une garantie de protection adéquate contre les ransomwares, mais la surveillance de journaux spécifiques peut changer la donne lorsqu’elle est combinée à d’autres mesures pour détecter les attaques avant qu’elles ne se propagent trop loin dans un réseau.

JPCERT / CC note que les anciennes souches de ransomware telles que WannaCry et Petya n’ont pas laissé de traces dans les journaux Windows, mais la situation a changé sur les logiciels malveillants modernes, de sorte que la technique est désormais considérée comme efficace.

En 2022, SANS a également partagé un guide sur la détection de différentes familles de ransomwares à l’aide des journaux d’événements Windows.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *