Rclone identificado como una herramienta maliciosa asociada con muestras de ransomware.

Hashes SHA256 asociados a Rclone

9E42E07073E03BDEA4CD978D9E7B44A9574972818593306BE1F3DCFDEE722238   rclone-v1.59.2-windows-amd64\git-log.txt
19ED36F063221E161D740651E6578D50E0D3CACEE89D27A6EBED4AB4272585BD   rclone-v1.59.2-windows-amd64\rclone.1
54E3B5A2521A84741DC15810E6FED9D739EB8083CB1FE097CB98B345AF24E939   rclone-v1.59.2-windows-amd64\rclone.exe
EC16E2DE3A55772F5DFAC8BF8F5A365600FAD40A244A574CBAB987515AA40CBF   rclone-v1.59.2-windows-amd64\README.html
475D6E80CF4EF70926A65DF5551F59E35B71A0E92F0FE4DD28559A9DEBA60C28   rclone-v1.59.2-windows-amd64\README.txt

• Palo Alto Networks firewall
• Anti-virus
• Wildfire
• Inteligencia de amenazas

• Rclone es un programa informático de código abierto, multiproceso y línea de comandos para administrar o migrar contenido en la nube y otro almacenamiento de alta latencia.
• Sus capacidades incluyen sincronización, transferencia, cripta, caché, unión, compresión y montaje.
• El sitio web de rclone enumera los backends compatibles, incluidos S3 y Google Drive.

1. Rclone no es ransomware; Es una herramienta legítima de la que se abusa como herramienta de exfiltración durante una infección de ransomware.
2. Una vez que el adversario controla la red de la corporación, Rclone se implementa para copiar los datos confidenciales en un servidor remoto.
3. Tiene un uso legítimo para la copia de seguridad de datos o la transferencia de datos. En este punto, no estamos considerando IPS/IDS firmas para detectar Rclone.

• Hemos introducido Rclone App-ID para identificar el tráfico para esta aplicación. Puede encontrar más información en nuestra página de Applipedia
• También mantendremos Rclone como BENIGN en Wildfire , ya que es muy utilizado por IT entre los clientes.