Εντοπισμός Pandora Ransomware με το Cyber Radar

Τι είναι το Pandora Ransomware:

Το Pandora ransomware είναι ένας τύπος κακόβουλου λογισμικού που απειλεί υπολογιστές καταστρέφοντας ή εμποδίζοντας την πρόσβαση σε κρίσιμα δεδομένα ή συστήματα έως ότου καταβληθούν λύτρα.

Έγινε γνωστό τον Μάρτιο του 2022 όταν η DENSO, μία πολύ γνωστή αυτοκινητοβιομηχανία παραβιάστηκε. Μετά από αυτό, αρκετοί ερευνητές κακόβουλου λογισμικού ανέλυσαν δείγματα του Pandora και κατέληξαν ότι είναι μία παραλλαγή του Rook ransomware( ενός πολύ γνωστού κακόβουλου λογισμικού που εμφανίστηκε για πρώτη φορά στο VirusTotal τον Νοέμβριο του 2021) και διαπίστωσαν ότι το Pandora κρυπτογραφεί αρχεία και προσθέτει την επέκταση “.pandora” στα ονόματα αρχείων.

Εντοπισμός Pandora Ransomware:

Το Cyber Radar έχει δύο τεχνικές εντοπισμού του Pandora τα εξής παρακάτω:

• File Integrity Monitoring (FIM): Ανιχνεύει τα αρχεία όταν δημιουργούνται, διαγράφονται ή αλλάζουν και καταγράφει τα hash των αρχείων χρησιμοποιώντας SHA1, MD5, SHA256 και IMPHASH. Κατόπιν συγκρίνει τα hash όλων των αρχείων με τη βάση δεδομένων μας (Threat Intelligence) και αν κάποιο hash ταυτιστεί με αυτο του Pandora θα δημιουργηθεί η αντίστοιχη ειδοποίηση στο Dashboard του Cyber Radar και αμέσως θα διαγραφεί αυτόματα.

• Καταγραφή και αξιολόγηση συμβάντων στα Windows: Κάνοντας μια σε βάθος ανάλυση των διεργασιών που εκτελεί το Pandora, διαπιστώνεται ότι διαγράφει shadow copies χρησιμοποιώντας την διεργασία vssadmin. Το Cyber Radar έχει την δυνατότητα να εντοπίζει αυτές τις ενέργειες όταν γίνονται σε ένα σύστημα και δημιουργείται η αντίστοιχη ειδοποίηση στο Dashboard. Οι ειδοποιησεις αναλύονται και αξιολογούνται και κατόπιν πραγματοποιούνται οι απαραίτητες ενέργειες για την αντιμετώπιση του συμβάντος.

Η παρακάτω εικόνα δείχνει τις διεργασίες που δημιουργούνται από το Pandora, συμπεριλαμβανομένης της χρήσης του vssadmin για τη διαγραφή shadow copies.