LostTrust Ransomware-Erkennung: SFile- und Mindware-Fortschritt, Nachfolger der MetaEncryptor-Gang
Inhaltsverzeichnis:
Das neuartige LostTrust-Ransomware tauchte im Frühjahr 2023 in der Bedrohungslandschaft auf. Dennoch gelangte die Angreiferkampagne erst im September in die Schlagzeilen, als beobachtet wurde, dass Ransomware-Operatoren Datenleak-Sites und Payloads nutzten, die den offensiven Werkzeugen der MetaEncryptor-Gruppe sehr ähnlich waren. Verteidiger äußern Bedenken angesichts der wachsenden Bedrohungen, da über 50 LostTrust-Opfer aus aller Welt durch Ransomware-Einbrüche kompromittiert wurden.
LostTrust-Ransomware-Angriffe entdecken
Das Auftauchen von Multi-Extortion-Ransomware-Angriffen, die den Druck auf die Opfer erhöhen, verstärkt die Notwendigkeit, die Verteidigungsfähigkeiten zu stärken, um solchen Bedrohungen vorzubeugen. LostTrust-Ransomware-Kampagnen, die seit Anfang Herbst 2023 für Aufsehen sorgen, setzen mehrere globale Organisationen zunehmenden Risiken von Einbrüchen aus. Die SOC Prime Plattform bietet eine neue Sigma-Regel für die Erkennung von LostTrust-Ransomware-Angriffen, die über einen unten stehenden Link verfügbar ist:
Dieser Erkennungsalgorithmus wurde von unserem engagierten Threat-Bounty-Entwickler geschrieben, Aung Kyaw Min Naing. Treten Sie den Reihen von SOC Primes Crowdsourcing-Initiative bei, um Ihren Beitrag zur kollektiven Cyberabwehr zu leisten, indem Sie Ihr eigenes Erkennungscode schreiben, teilen und die Chance zur Monetarisierung erhalten.
Die oben erwähnte Sigma-Regel ist dem MITRE ATT&CK-Framework zugeordnet und behandelt die Impact-Taktik und die Data Encrypted for Impact-Technik (T1486). Überprüfen Sie maßgeschneiderte Informationen, die mit den Inhalten verknüpft sind, und konvertieren Sie den Code sofort in mehrere Anfragesprachenformate der entsprechenden SIEM-, EDR-, XDR- und Data-Lake-Lösungen.
Beim Erkennen aufkommender Bedrohungen ist Zeit von entscheidendem Wert. Klicken Sie auf Erkennung erkunden um über 800 Sigma-Regeln zur Ransomware-Erkennung zu vertiefen, CTI zu durchstöbern, gegnerische TTPs zu überprüfen, Abhilfemaßnahmen zu finden und auf andere umsetzbare Metadaten zuzugreifen, um niemals eine Kleinigkeit zu verpassen.
LostTrust Ransomware Analyse
Moderne Ransomware Familien neigen dazu, doppelte und mehrfache Erpressungsansätze anzuwenden, um ihre Angriffsfähigkeiten zu verstärken. Im frühen Herbst 2023 rückte eine neuartige Mehrfachtbedrohung, bekannt als LostTrust-Ransomware, in den Mittelpunkt, wobei die ersten Angriffe bereits im März durchgeführt wurden. Laut der Forschung von SentinelOnehat sich LostTrust aus den SFile- und Mindware-Ransomware-Familien entwickelt. Alle zeigen Fähigkeiten, die MetaEncryptor-Ransomware ähneln, was die Annahme nahelegt, dass LostTrust eine Umbenennung des Letzteren sein könnte. Darüber hinaus teilen MetaEncryptor und LostTrust Ähnlichkeiten bei den Datenleak-Sites und Verschlüsslern, die sie anwenden.
LostTrust-Payloads suchen aktiv nach und beenden eine Vielzahl kritischer Dienste und Operationen, die hauptsächlich mit Microsoft Exchange, MSSQL, SharePoint, Tomcat usw. in Verbindung stehen. Außerdem versucht die Malware, VSS zu eliminieren und alle Windows-Ereignisprotokolle zu löschen.
Die gemeinsamen Fähigkeiten von Mindware, SFile und LostTrust dienen als Beweis dafür, dass Letzteres eine Weiterentwicklung dieser Linie ist. Beispielsweise basieren schädliche LostTrust-Stränge auf SFile. Ähnlich wie seine Vorgänger handelt LostTrust mit Ausschlüssen durch Muster/Zeichenfolge, während seine Verschlüsselungs-Inklusionen und Ausschlüsse denen von Mindware und SFile-Ransomware ähneln. Darüber hinaus ähnelt die Struktur der Lösegeldforderung in den LostTrust-Kampagnen den Mindware-Operationen.
Was die Leak-Sites betrifft, so waren einige der auf LostTrusts Ressourcen aufgeführten Opfer zuvor auf Leak-Sites zu finden, die mit Royal, LockBit 3, und Medusa-Ransomware-Betreibern in Verbindung standen.
Die zunehmenden Risiken aufkommender Ransomware-Angriffe erfordern die sofortige Aufmerksamkeit der Verteidiger, um Organisationen zu helfen, Reputationsschäden zu vermeiden. Verlassen Sie sich auf den Threat Detection Marketplace um einen globalen Feed von über 300.000 kontextangereicherten Erkennungsalgorithmen zu durchsuchen, die auf Ihre Branche, Ihr Bedrohungsprofil, organisationsspezifische Protokollquellen und verwendete Technologie-Stacks abgestimmt sind.
