Fontes recomendadas para informações de ransomware. SANS Threat Analysis Rundown relacionou fontes confiáveis que podem ser usadas para rastrear o ecossistema de ransomware.
Existem muitos recursos gratuitos excelentes para ajudar os profissionais de segurança cibernética a prevenir e detectar ransomware – mas você precisa saber onde procurar! Na recente transmissão ao vivo do SANS Threat Analysis Rundown (STAR) , o SANS falou sobre muitas fontes que usadas para rastrear o ecossistema de ransomware. Aqui estão alguns dos principais recursos que abordaram e listaram no SANS Blog .
Claro que o SANS recomenda que você certifique-se de verificar todas as fontes – especialmente antes de enviar qualquer dado!
Fontes Gerais
- https://thedfireport.com/
- Eles também têm uma conta Patreon: https://www.patreon.com/thedfirreport
- https://otx.alienvault.com/dashboard/new
- https://id-ransomware.blogspot.com/
- https://id-ransomware.malwarehunterteam.com/ (faça uma avaliação de risco antes de carregar qualquer dado!)
- https://docs.google.com/spreadsheets/d/1TWS238xacAto-fLKh1n5uTsdijWdCEsGIM0Y0Hvmc5g/ Planilha de Florian Roth para dados históricos (não atualizada no momento)
- https://www.virustotal.com (apenas pesquise, não faça upload de amostras confidenciais!)
Locais de vazamento
Várias fontes raspam sites da dark web onde os operadores de ransomware publicam nomes de vítimas, bem como dados exfiltrados. É útil que os pesquisadores estejam cientes se sua organização estiver listada em um desses sites. Antes de acessar esses sites, e principalmente antes de baixar quaisquer dados roubados diretamente deles, converse com seus advogados!
Aqui está um exemplo de como isso pode ser integrado ao Slack:
Pesquisa Darknet/Tor
Se você estiver interessado em configurar seu próprio navegador TOR para acessar esses sites, aqui está um vídeo que mostra como fazer isso de maneira mais segura:
Para obter mais informações sobre o projeto TorBrowser, consulte:
E, finalmente, conheça o Tails, o sistema operacional projetado para anonimato e construído com o Tor sempre ativado:
O Twitter é uma excelente fonte de informações sobre o próprio ransomware, bem como sobre as muitas famílias de malware precursoras de ransomware. TweetDeck ( https://tweetdeck.twitter.com/ ) pode ajudar a organizar várias contas e hashtags de interesse, e as listas do Twitter também podem ajudar nisso. Como todas essas fontes, você precisará selecionar as contas que segue e determinar quais funcionam para suas necessidades. Existem tantas contas boas que não podemos listar todas aqui, mas se você começar com esta lista, o Twitter recomendará outras contas semelhantes para você.
- https://twitter.com/search?q=%23ransomware
- https://twitter.com/darktracer_int
- https://twitter.com/cobaltstrikebot
- https://twitter.com/RdpSnitch
- https://twitter.com/malwrhunterteam
- https://twitter.com/malware_traffic
- https://twitter.com/vxunderground
- https://twitter.com/JAMESWT_MHT
- https://twitter.com/ffforward
- https://twitter.com/demonslay335
- https://twitter.com/GossiTheDog
- https://twitter.com/BushidoToken
- https://twitter.com/stvemillertime/
- https://twitter.com/bryceabdo
- https://twitter.com/VK_Intel
- https://twitter.com/uuallan
- https://twitter.com/BleepinComputer
- https://twitter.com/selenalarson
- https://twitter.com/cyb3rops
Blogues
Recomendamos configurar um feed RSS com as postagens do blog de várias organizações da comunidade. Existem muitas opções de feeds RSS, incluindo uma versão gratuita do Feedly. Você também pode querer seguir essas empresas no Twitter.
Muitos desses blogs são mantidos por fornecedores, que compartilham regularmente informações sobre os incidentes observados. Novamente, existem muitas fontes para listarmos aqui, então esta é apenas uma amostra do que está por aí. Lembre-se de que as diferentes empresas veem diferentes partes do ecossistema de ransomware, por isso pode ser útil rastrear muitas perspectivas.
BlackBerry
- Página de destino do blog Threat Research: https://blogs.blackberry.com/en/author/the-blackberry-research-and-intelligence-team
- https://blogs.blackberry.com/en/2021/06/pysa-loves-chachi-a-new-golang-rat
- https://blogs.blackberry.com/en/2021/05/threat-thursday-conti-ransoms-over-400-organizations-worldwide
- https://blogs.blackberry.com/en/2019/12/zeppelin-russian-ransomware-targets-high-profile-users-in-the-us-and-europe
Red Canary
- https://redcanary.com/blog/how-one-hospital-thwarted-a-ryuk-ransomware-outbreak/
- https://redcanary.com/threat-detection-report/
- https://redcanary.com/blog/rclone-mega-extortion/
https://www.secureworks.com/research/lv-ransomware
https://www.sentinelone.com/blog/meet-darkside-and-their-ransomware-sentinelone-customers-protected/
https://adversary.crowdstrike.com/en-US/adversary/pinchy-spider/
https://www.digitalshadows.com/blog-and-research/q1-ransomware-roundup/
Script de decodificador relacionado conforme observado na transmissão ao vivo: https://github.com/rj-chap/random_scripts/blob/main/python/epsilon_red_powershell_decoder.py
https://blogs.vmware.com/secur…
https://pan-unit42.github.io/playbook_viewer/?pb=maze-ransomware
https://www.proofpoint.com/us/blog/threat-insight/bazaflix-bazaloader-fakes-movie-streaming-service
Assista ao episódio de transmissão ao vivo da S
TAR Live Stream sobre Ransomware
FONTE: MINUTO DA SEGURANÇA