- \n
- Beide Implementationen basieren gr\u00f6\u00dftenteils auf dem im M\u00e4rz 2022 geleakten CONTI Ransomware Source Code.<\/li>\n<\/ul>\n\n\n\n
- \n
- Die Funktionalit\u00e4t von Nitrogen Ransomware hat sich kaum weiterentwickelt, was geringe Kompetenzen in der Implementierung von Ransomware nahelegt.<\/li>\n<\/ul>\n\n\n\n
<\/p>\n\n\n\n
Einleitung<\/h2>\n\n\n\n
In diesem Abschnitt werden einige grundlegende Sachverhalte zum CONTI Ransomware Source Code Leak und den Ransomware Varianten Nitrogen und LukaLocker erl\u00e4utert.<\/p>\n\n\n\n
Hintergrund: CONTI Quellcode Leak<\/h3>\n\n\n\n
Am 20. M\u00e4rz 2022 wurde der Quellcode f\u00fcr die CONTI Ransomware Variante durch einen ukrainisch-st\u00e4mmigen Entwickler der Gruppierung \u00fcber Twitter ver\u00f6ffentlicht, nachdem die Betreiber des CONTI Ransomware-as-a-Service (RaaS) \u00fcber ihren Leak-Blog bekannt gaben, die Russische Invasion der Ukraine zu unterst\u00fctzen (siehe Abbildung 1).<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-conti.webp\")
Abbildung 1: CONTI Bekanntmachung zur Russischen Invasion der Ukraine (Quelle: BleepingComputer<\/a>)<\/figcaption><\/figure>\n\n\n\n Nach der Ver\u00f6ffentlichung dieses Quellcodes adaptierten mehrere bestehende und neue Ransomware Gangs die CONTI-Implementation f\u00fcr eigene Schadsoftware Varianten. Beispiele hierf\u00fcr sind unter anderem LockBit Green, Monti, Royal, Akira und BlackSuit.<\/p>\n\n\n\n
Nitrogen and LukaLocker<\/h3>\n\n\n\n
Vorhergegangene Ver\u00f6ffentlichungen<\/h4>\n\n\n\n
Die erste Ver\u00f6ffentlichung zu LukaLocker Ransomware wurde im Juli 2024 von Halcyon publiziert<\/a>. Der Ransomware Operator bzw. Threat Actor hinter LukaLocker wurde dort mit dem Codenamen \u201eVolcano Demon\u201c referenziert. Dort wurde au\u00dferdem berichtet, dass der Threat Actor neben hinterlassenen Ransomnotes auf den Computern der betroffenen Unternehmen auch Drohanrufe \u00fcber das Telefon t\u00e4tigt. Diese Taktik wurde in der Vergangenheit nur selten von Ransomware Gangs genutzt, da meistens Call-Center Agenten daf\u00fcr angeheuert werden m\u00fcssen. Es existieren beispielsweise Aufzeichnungen zu Anrufen von Suncrypt<\/a> oder CONTI<\/a>.<\/p>\n\n\n\n
LukaLocker wurde zuvor von Jonny Johnson und Alden Schmidt (Huntress) in dem Vortrag \u201eUnraveling LukaLocker Ransomware\u201c<\/a> untersucht.<\/p>\n\n\n\n
Nitrogen Ransomware sollte nicht mit der Schadsoftware \u201eNitrogen Loader\u201c in Verwechslung gebracht werden. Diese Malware Varianten \u00e4hneln sich zwar in ihrer Benennung, jedoch konnten wir keinen Zusammenhang zwischen ihnen feststellen. Eine Beschreibung von Nitrogen Loader wurde von eSentire<\/a> ver\u00f6ffentlicht.<\/p>\n\n\n\n
Gefundene Malware Samples und Viktimologie<\/h4>\n\n\n\n
Zum Verfassungszeitpunkt dieses Artikels waren die Ziele der Threat Actor hinter Nitrogen und LukaLocker Ransomware vor allem in Nordamerika (USA und Kanada) lokalisiert und prim\u00e4r in der Industrie bzw. dem Baugewerbe t\u00e4tig. Vereinzelt wurden auch Unternehmen aus anderen Branchen angegriffen, was eine opportunistische Auswahl potenzieller Ziele nahelegt. Eine zeitliche Korrelation zwischen den aufgefundenen Ransomware Samples und der Erpressung von betroffenen Unternehmen ist nur in vereinzelten F\u00e4llen m\u00f6glich, da neue Data Breaches mit gro\u00dfem Zeitversatz auf dem Blog gelistet werden. Abbildung 2 zeigt einen Zeitstrahl, auf dem sowohl die analysierten Malware Samples, als auch ver\u00f6ffentlichte Erpressungsziele aufgetragen sind. Da die Ver\u00f6ffentlichungen auf dem Leak Blog nicht mit einem Datum versehen werden, ist es teilweise nicht m\u00f6glich den genauen Zeitpunkt des Postings zu ermitteln. Hierf\u00fcr wurden die Beitr\u00e4ge des Threat Actors auf X (ehemals Twitter) unter dem Nutzernamen @nitrogenSupp<\/a> hinzugezogen.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/timeline-submission-target-1600x522.png\")
Abbildung 2: Beobachtete Samples, geordnet nach dem Datum, an dem sie erstmals an VirusTotal \u00fcbermittelt wurden, sowie angegeriffene Unternehmen, die auf dem X-\/Twitter-Konto des TA angek\u00fcndigt wurden<\/figcaption><\/figure>\n\n\n\n Insgesamt wurden f\u00fcnf aktuelle Samples der Nitrogen Ransomware Variante durch Threat Hunting mit YARA identifiziert. Vier dieser Samples werden Nitrogen direkt zugeordnet. Ein weiteres Sample wird der Ransomware Variante LukaLocker zugeordnet. Wie im zweiten Abschnitt dieses Artikels gezeigt wird, sind die Implementationen von Nitrogen und LukaLocker Ransomware nahezu identisch. Weitere Zusammenh\u00e4nge, welche nahelegen, dass der Threat Actor, der hinter Nitrogen Ransomware steht auch unter dem Namen LukaLocker agiert, lassen sich aus der Betrachtung der ver\u00f6ffentlichten Ransomware Data Breaches ziehen. Wie in Abbildung 3 zu erkennen konnte in zwei Instanzen das eingesetzte Ransomware Sample mit den jeweils betroffenen Unternehmen in Verbindung gebracht werden. Das mit der LukaLocker Variante angegriffene Unternehmen wurde ebenfalls auf dem Nitrogen Ransomware Leak Blog gelistet. Kurz darauf wurde dieses Posting jedoch wieder von der Leak-Seite und dem X (Twitter) Profil entfernt. Es konnte nicht nachvollzogen werden, inwiefern dies mit einer erfolgreichen\/gescheiterten Erpressung zusammenh\u00e4ngt oder ob eine Verbindung zwischen Nitrogen und LukaLocker nachtr\u00e4glich verschleiert werden sollte.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/target-relation.png\")
Abbildung 3: Opferidentit\u00e4ten, die aus Sample-Informationen abgeleitet werden k\u00f6nnen; das LukaLocker-Opfer wurde im Nitrogen-Blog aufgef\u00fchrt<\/figcaption><\/figure>\n\n\n\n Infrastruktur<\/h4>\n\n\n\n
Nitrogen betreibt, \u00fcbereinstimmend mit g\u00e4ngigen \u201eDouble Extortion\u201c Taktiken, einen Leak-Blog als TOR Hidden Service. Die Seite folgt einem statischen Aufbau, mit wenigen dynamischen Elementen und bietet daher wenig Angriffsfl\u00e4che f\u00fcr eine potenzielle Deanonymisierung.<\/p>\n\n\n\n
Daten Ver\u00f6ffentlichungen<\/h4>\n\n\n\n
Auf dem oben beschriebenen Leak-Blog ver\u00f6ffentlicht Nitrogen Ransomware eine Liste an kompromittierten Unternehmen. Die durch die Angreifer entwendeten Daten werden nicht g\u00e4nzlich ver\u00f6ffentlicht, sondern nur mit vagen Beweisen hinterlegt. Die Betreiber von Nitrogen versuchen, die Daten an andere Cyberkriminelle weiterzuverkaufen.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-leak-blog-1600x1160.png\")
Abbildung 4: Screenshot des Nitrogen Ransomware Leak-Blogs „NitroBlog“<\/figcaption><\/figure>\n\n\n\n Kontaktaufnahme<\/h4>\n\n\n\n
Wie zuvor erw\u00e4hnt betreibt Nitrogen Ransomware unter dem Nutzernamen @NitrogenSupp einen X \/ Twitter Account. Zus\u00e4tzlich verwendet der Threat Actor den Tox Instant Messenger, welcher unter Cyberkriminellen generell sehr beliebt ist. In jedem Erpresserschreiben, dass Nitrogen Ransomware bei einem kompromittierten Unternehmen hinterl\u00e4sst, ist eine einzigartiger Tox Benutzername vermerkt, um zwischen den Opfern unterscheiden zu k\u00f6nnen.<\/p>\n\n\n\n
Da der Nitrogen Ransomware Leak-Blog seit Dezember 2024 nicht mehr aktualisiert wurde, haben wir testweise die auf dem Leak-Blog gelistete Tox-ID kontaktiert und wenig sp\u00e4ter eine Antwort erhalten. Der Threat Actor scheint den Kommunikationskanal also nach wie vor zu nutzen, ggf. um die Datens\u00e4tze aus den vorhergegangenen Data Breaches zu verkaufen.<\/p>\n\n\n\n
Analyse<\/h2>\n\n\n\n
Die Zielsetzung unserer Analyse war, einen Einblick in die Funktionalit\u00e4ten von Nitrogen Ransomware zu erhalten. Au\u00dferdem sollte best\u00e4tigt werden, inwiefern ein Zusammenhang zwischen LukaLocker und Nitrogen besteht, welcher zuvor im Rahmen der Threat Intelligence Analyse vorgestellt wurde.<\/p>\n\n\n\n
Gemeinsamkeiten mit CONTI<\/h3>\n\n\n\n
Unsere Analyse zeigte deutliche Gemeinsamkeiten zwischen dem Quellcode von CONTI Ransomware und den dekompilierten Nitrogen Ransomware Bin\u00e4rdateien. Auf einige der eindeutigsten Indizien gehen wir in diesem Unterkapitel ein.<\/p>\n\n\n\n
Parameter<\/h4>\n\n\n\n
Die Schadsoftware unterst\u00fctzt folgende Parameter, die der Nutzer auf der Kommandozeile spezifizieren kann:<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-help-1600x350.png\")
Abbildung 5: Optionale Kommandozeilen-Parameter von Nitrogen Ransomware<\/figcaption><\/figure>\n\n\n\n -p Zu verschl\u00fcsselnder Dateipfad
-l Pfad zur Logdatei
-nm Keine Erstellung einer Mutex
-s Terminierung der Services und Prozesse in der Service- und Prozess Liste
-b Safeboot ausschalten und Neustart erzwingen
-v Erh\u00f6hter Detailgrad der Log-Informationen<\/p>\n\n\n\nMutex<\/h4>\n\n\n\n
Nitrogen verwendet eine Mutex, um eine mehrfache Ausf\u00fchrung der Schadsoftware zu vermeiden. Bei dem analysierten Sample, erstellte die Schadsoftware eine Mutex mit dem Namen \u201envxkjcv7yxctvgsdfjhv6esdvsx\u201c. Diese Logik wurde aus dem CONTI Quellcode \u00fcbernommen, einzig der Mutex Name wurde ver\u00e4ndert.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-conti-mutex-1600x1000.png\")
Abbildung 6: Vergleich der Mutex Implementation zwischen Nitrogen und CONTI<\/figcaption><\/figure>\n\n\n\n Multithreading<\/h4>\n\n\n\n
Die Schadsoftware verwendet die gleiche Multithreading Logik wie CONTI. Mit dem Aufruf der Funktion GetNativeSystemInfo<\/em> ermittelt Nitrogen Ransomware die Anzahl der verf\u00fcgbaren CPU Kerne des Systems. F\u00fcr jeden logischen Prozessor werden danach zwei Threads f\u00fcr den Thread-Pool erzeugt, um die Verschl\u00fcsselung zu parallelisieren.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-conti-threadpool-1600x759.png\")
Abbildung 7: Routine zur Erstellung von Ausf\u00fchrungs-Threads (Nitrogen vs. CONTI)<\/figcaption><\/figure>\n\n\n\n Abweichungen von der CONTI Implementation<\/h3>\n\n\n\n
Software-Entwicklungsumgebung<\/h4>\n\n\n\n
Der urspr\u00fcngliche CONTI Source Code Leak nutzte Visual Studio 2015 als Build Environment. Es wird vermutet, dass die untersuchten Nitrogen Samples MinGW GCC in Version 13.3.0 verwendeten. Zudem wurde die Schadsoftware mithilfe von SIMD Instruktionen optimiert.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-die.png\")
Abbildung 8: Detect it Easy – Informationen zur Entwicklungsumgebung von Nitrogen Ransomware<\/figcaption><\/figure>\n\n\n\n Datei Verschl\u00fcsselung<\/h4>\n\n\n\n
Nitrogen Ransomware generiert f\u00fcr jede Datei einen ChaCha8 Context mit einer zuf\u00e4lligen Nonce und einem zuf\u00e4lligem Schl\u00fcssel und sch\u00fctzt diesen Schl\u00fcssel mit der Curve25519 ECC. Hierbei hat der Entwickler RSA, welches von Conti verwendet wird, mit ECC ersetzt, ECC wird immer h\u00e4ufiger in Ransomware eingesetzt, da sie im Gegensatz zu RSA kleinere Schl\u00fcsselgr\u00f6\u00dfen verwendet, und wenig Rechenleistung im Vergleich zu RSA verbraucht.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-conti-genkey-1600x749.png\")
Abbildung 9: Vergleich der Schl\u00fcsselgeneration zwischen Nitrogen und CONTI Ransomware<\/figcaption><\/figure>\n\n\n\n Partielle Verschl\u00fcsselungsmodi:<\/p>\n\n\n\n
- \n
- VM Dateien (bspw. Vmdk, vmx, vmem) werden zu 20% verschl\u00fcsselt.<\/li>\n\n\n\n
- Datenbanken werden zu komplett verschl\u00fcsselt.<\/li>\n\n\n\n
- Dateien unter oder gleich 1 MiB werden komplett verschl\u00fcsselt.<\/li>\n\n\n\n
- Dateien unter oder gleich 1 GiB werden zu 50% verschl\u00fcsselt.<\/li>\n\n\n\n
- Gr\u00f6\u00dfere Dateien werden nur zu 10% verschl\u00fcsselt.<\/li>\n<\/ul>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-encryption-percentage-1600x1096.png\")
Abbildung 10: Unterscheidung der partiellen Verschl\u00fcsselung von Nitrogen Ransomware<\/figcaption><\/figure>\n\n\n\n Service- und Prozess Terminierung<\/h4>\n\n\n\n
Falls der -s (bzw. –service-stop) Parameter bei der Ausf\u00fchrung der Ransomware gesetzt wurde, terminiert Nitrogen Prozesse, die denen aus einer Liste mit 827 Eintr\u00e4gen entsprechen.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-taskkill-list-1600x1394.png\")
Abbildung 11: Liste der Prozesse, die Nitrogen Ransomware versucht, abzuschalten<\/figcaption><\/figure>\n\n\n\n Zudem wird anhand einer gesonderten Liste nach aktiven Services von Anti-Virus und Endpoint Detection and Response L\u00f6sungen gesucht. Bei Treffern werden diese ebenfalls abgeschalten. <\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-service-kill-1600x1475.png\")
Abbildung 12: Screenshot von den Services, die Nitrogen abzuschalten versucht<\/figcaption><\/figure>\n\n\n\n Die Implementation zur Beendigung von Prozessen und Services ist in Abbildung 13 abgebildet. Nitrogen Ransomware durchl\u00e4uft beide Listen und terminiert alle gefundenen Instanzen.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-cmd-prockill-1600x1373.png\")
Abbildung 13: Routine zur Terminierung von Prozessen und Services<\/figcaption><\/figure>\n\n\n\n Volumenschattenkopien<\/h4>\n\n\n\n
Der Mechanismus zum L\u00f6schen der Volumenschattenkopien, welcher von CONTI implementiert wurde, wird von den Nitrogen Entwicklern vollst\u00e4ndig ausgelassen. Insofern dies nicht als manueller Schritt nach der Ausf\u00fchrung der Ransomware geschieht, ist eine teilweise Datenwiederherstellung ggf. m\u00f6glich.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/conti-vss-1600x330.png\")
Abbildung 14: CONTI Implementation zur L\u00f6schung von Volumenschattenkopien<\/figcaption><\/figure>\n\n\n\n Verschl\u00fcsselungsarten von Nitrogen<\/h4>\n\n\n\n
Nitrogen unterst\u00fctzt drei verschiedene Verschl\u00fcsselungsmodi. Dabei wurden die Verschl\u00fcsselungsarten ALL_ENCRYPT, LOCAL_ENCRYPT und PATH_ENCRYPT vom Conti Source kopiert und der NETWORK_ENCRYPT von Conti wurde ausgelassen.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-conti-encryptmode-1-1600x1358.png\")
Abbildung 15: Vergleich der Verschl\u00fcsselungsmodi zwischen Nitrogen und CONTI Ransomware<\/figcaption><\/figure>\n\n\n\n Deaktivierung des abgesicherten Modus<\/h4>\n\n\n\n
Nach dem Verschl\u00fcsselungsprozess \u00fcberpr\u00fcft Nitrogen, ob der Shutdown Flag beim Starten der Ransomware von dem Nutzer gesetzt wurde, falls ja, wird Safeboot mithilfe der Kommandozeile mit dem Kommando \u201ebcdedit \/deletevalue {default} safeboot\u201c abgeschaltet und anschlie\u00dfend wird das System heruntergefahren.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-safeboot-1600x415.png\")
Abbildung 16: Deaktivierung des abgesicherten Modus und Erzwingung eines Neustarts<\/figcaption><\/figure>\n\n\n\n Verschl\u00fcsselung des Erpresserschreibens<\/h4>\n\n\n\n
In der CONTI Implementation wird das Erpresserschreiben im Klartext in der ausf\u00fchrbaren Datei mitgeliefert. LukaLocker hat diesen Mechanismus in dieser Form \u00fcbernommen. Wie in Abbildung 10 zu sehen verwenden einige der untersuchten Nitrogen Ransomware samples einen einfachen byte-weise XOR mit wechselnden Schl\u00fcsseln (z.B. 0xFD bzw. 0xFF), um ein einfaches extrahieren des Erpresserschreibens aus der Malware zu erschweren. In neueren Varianten der Ransomware wurde ein Rolling-XOR Algorithmus mit \u00e4hnlicher Funktionsweise vorgefunden.<\/p>\n\n\n\n
![\"\"](\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/nitrogen-ransomnote-decryption-1600x592.png\")
Abbildung 17: Routine zur Entschl\u00fcsselung des Erpresserschreibens nach der vollzogenen Datei-Verschl\u00fcsselung<\/figcaption><\/figure>\n\n\n\n Fazit<\/h2>\n\n\n\n
Wir stellen fest, dass LukaLocker und Nitrogen Ransomware in gro\u00dfen Teilen auf dem CONTI Quellcode basieren. Die vom Autor vorgenommenen Ver\u00e4nderungen legen nahe, dass dessen F\u00e4higkeiten zur Malware Entwicklung stark beschr\u00e4nkt sind.<\/p>\n\n\n\n
Eine \u00dcberlappung von Eintr\u00e4gen auf der Leak Seite von Nitrogen legt nahe, dass beide Varianten von diesen Akteuren verwendet werden.<\/p>\n\n\n\n
Indicators of Compromise (IoC)<\/h2>\n\n\n\n
Datei-Hashsummen<\/h4>\n\n\n\n
Nitrogen<\/p>\n\n\n\n
\n- \n
- c94b70dff50e69639b0ef1e828621c5fddcf144fea93e27520f48264ddd33273<\/li>\n\n\n\n
- ce8788e6ed0042010dd27a4fd79b9962d11385008b88485b8368fd666e5d38ec<\/li>\n\n\n\n
- 55f3725ebe01ea19ca14ab14d747a6975f9a6064ca71345219a14c47c18c88be<\/li>\n\n\n\n
- f30198a8a62e189653bfbeaa7a2f303549b8042ddd84c980f132a4e889f9cb60<\/li>\n<\/ul>\n<\/div>\n\n\n\n
LukaLocker<\/p>\n\n\n\n
- \n
- 4e58629158a6c46ad420f729330030f5e0b0ef374e9bb24cd203c89ec3262669<\/li>\n<\/ul>\n\n\n\n
Host-basierte Merkmale<\/h4>\n\n\n\n
Erpresserschreiben: readme.txt<\/p>\n\n\n\n
Log-Protokoll: NBA_LOG.txt<\/p>\n\n\n\n
Anwendbare Detektionsregeln<\/h2>\n\n\n\n
YARA<\/h3>\n\n\n\n
rule SI_MAL_RNSM_Nitrogen_Lukalocker_Feb25 {<\/code><\/p>\n\n\nmeta:<\/code><\/p>\n\n\nversion = \"1.0\"<\/code><\/p>\n\n\ndate = \"2025-02-04\"<\/code><\/p>\n\n\nmodified = \"2025-03-20\"<\/code><\/p>\n\n\nstatus = \"RELEASED\"<\/code><\/p>\n\n\nsharing = \"TLP:CLEAR\"<\/code><\/p>\n\n\nsource = \"SECUINFRA Falcon Team\"<\/code><\/p>\n\n\ndescription = \"Detects Nitrogen \/ LukaLocker Ransomware based on leaked CONTI source code.\"<\/code><\/p>\n\n\ncategory = \"malware\"<\/code><\/p>\n\n\nmitre_att = \"T1486\"<\/code><\/p>\n\n\nhash = \"8cd552392bb25546ba58e73d63c4b7c290188ca1060f96c8abf641ae9f5a8383\"<\/code><\/p>\n\n\nminimum_yara = \"3.2.0\"<\/code><\/p>\n\n\nbest_before = \"2026-02-04\"<\/code><\/p>\n\n\nstrings:<\/code><\/p>\n\n\n$str1 = \"Directories scanned: %d\" ascii<\/code><\/p>\n\n\n$str2 = \"Files finded: %d\" ascii<\/code><\/p>\n\n\n$str3 = \"Files crypted: %d\" ascii<\/code><\/p>\n\n\n$str4 = \"File %s is already open by another program.\" wide<\/code><\/p>\n\n\n$str5 = \".kexi\" wide<\/code><\/p>\n\n\n$str6 = \"cmd \/c taskkill \/im krbcc32s.exe \/f\" ascii<\/code><\/p>\n\n\ncondition:<\/code><\/p>\n\n\nuint16(0) == 0x5A4D<\/code><\/p>\n\n\nand filesize < 3MB<\/code><\/p>\n\n\nand all of them<\/code><\/p>\n\n\n}<\/code><\/p>\n\n\n\nSIGMA<\/h3>\n\n\n\n
1. Potential Conti Ransomware Activity<\/p>\n\n\n\n
https:\/\/github.com\/SigmaHQ\/sigma\/blob\/master\/rules-emerging-threats\/2021\/Malware\/Conti\/proc_creation_win_malware_conti_ransomware_commands.yml<\/a><\/p>\n\n\n\n
2. Process terminated via Taskkill<\/p>\n\n\n\n
https:\/\/github.com\/SigmaHQ\/sigma\/blob\/master\/rules-threat-hunting\/windows\/process_creation\/proc_creation_win_taskkill_execution.yml<\/a><\/p>\n\n\n\n
3. Potential Ransomware or Unauthorized MBR Tampering via bcdedit.exe<\/p>\n\n\n\n
- 4e58629158a6c46ad420f729330030f5e0b0ef374e9bb24cd203c89ec3262669<\/li>\n<\/ul>\n\n\n\n
- Die Funktionalit\u00e4t von Nitrogen Ransomware hat sich kaum weiterentwickelt, was geringe Kompetenzen in der Implementierung von Ransomware nahelegt.<\/li>\n<\/ul>\n\n\n\n