Zeoticus 2.0: Gemeine Ransomware-Variante erhält großes Upgrade

[post-views]
Februar 23, 2021 · 3 min zu lesen
Zeoticus 2.0: Gemeine Ransomware-Variante erhält großes Upgrade

Seit Dezember 2020 hat eine neue Version der Zeoticus-Ransomware aktiv Nutzer im freien Gelände angegriffen. Zeoticus 2.0 bietet bessere Leistung und verbesserte Offline-Fähigkeiten, was eine größere Bedrohung für Unternehmen weltweit darstellt.

Was ist Zeoticus-Ransomware?

Zeoticus ist ein relativ neues Malware-Beispiel, das im Dezember 2019 auf der Cyberbedrohungsfläche erschienen ist. Ähnlich wie viele andere bösartige Geschwister wird Zeoticus im Ransomware-as-a-Service (RaaS)-Modell in verschiedenen Foren und Märkten des Dark Web beworben. Die Malware ist derzeit Windows-spezifisch und kann alle bestehenden Versionen des Windows-Betriebssystems, einschließlich Windows XP und älter, angreifen.

Zeoticus hat zwei Hauptverteilmethoden. Die erste sind mit Malware versehene Spam-E-Mails. Und die zweite sind Drittanbieter-Softwareintegrationen, die von Websites mit kostenlosen Hosting-Diensten und Raubkopien von Peer-to-Peer (P2P) Downloads bereitgestellt werden. Bemerkenswerterweise kann die Ransomware Geo-Checks durchführen, um zu vermeiden, Benutzer aus Russland, Belarus und Kirgisistan anzugreifen. Solche Selektivität gibt Anlass zu der Annahme, dass die Zeoticus-Betreiber russischer Herkunft sein könnten.

Zeoticus 2.0 Verbesserte Funktionen

Die neue Zeoticus 2.0-Version, veröffentlicht im September 2020, übertrifft ihre Vorgänger signifikant in Geschwindigkeit und Effizienz aufgrund verbesserter Verschlüsselungsalgorithmen. Außerdem erhielt die Malware ein bemerkenswertes Upgrade ihrer Offline-Fähigkeiten, sodass sie nun in der Lage ist, ihre Nutzlasten auszuführen, ohne auf einen Command-and-Control (C&C)-Server angewiesen zu sein.

Der Bericht von Cyber Security Associates führt aus dass Zeoticus 2.0 eine Kombination aus asymmetrischer und symmetrischer Verschlüsselung anwendet, um seine Leistung zu verbessern. Die symmetrische Seite basiert auf XChaCha20, während die asymmetrische Seite eine Mischung aus Poly1305, XSalsa20 und Curve25519 nutzt. Ein solcher Ansatz dient gut dazu, den Großteil der wertvollen Dateien auf dem Gerät des Opfers zu sperren, einschließlich Archive, Audiodateien, Datenbanken, Dokumente, Bilder, Präsentationen, Tabellenkalkulationen und Videos. Die neueste Version der Ransomware erhielt auch die Fähigkeit, entfernte Laufwerke zu sperren und Systemprozesse zu beenden, die in der Lage sind, die Verschlüsselungsroutine zu verhindern, laut Forschung von SentinelOne.

Während des Verschlüsselungsprozesses erstellt Zeoticus auf die Schnelle ein neues Volume mit einem Erpresserbrief darin. Der Brief weist die Opfer an, den Angreifer per E-Mail zu kontaktieren, im Gegensatz zu anderen Ransomware-Gruppen, die typischerweise ein auf Zwiebeln basierendes Zahlungsportal oder ähnliches bevorzugen. Außerdem wird eine Kopie des Erpresserbriefs am Stamm des Systemlaufwerks hinterlassen.

Zeoticus 2.0 Erkennung

Verbessern Sie Ihre proaktive Abwehr gegen Zeoticus 2.0-Ransomware mit einer neuen Sigma-Regel, die von unserem produktiven Threat Bounty-Entwickler Osman Demir:

https://tdm.socprime.com/tdm/info/8DlhPQ0Osvzi/7j4JpncBTwmKwLA9R-kf/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

Taktiken: Einfluss

Techniken: Daten für Einfluss verschlüsselt (T1486)

Im Jahr 2020 nahm Ransomware selbstbewusst die führenden Positionen unter den Bedrohungen ein, die Unternehmen jeder Größe herausfordern. Daher wird die rechtzeitige Erkennung bösartiger Aktivitäten zur Prioritätsaufgabe. Überprüfen Sie spezielle Erkennungsregeln von SOC Prime im Threat Detection Marketplace, um sich vor den wichtigsten Ransomware-Familien von 2020 zu schützen.

Abonnieren Sie den Threat Detection Marketplace um Ihre Fähigkeiten zur Cyberabwehr mit einer branchenweit ersten Content-as-a-Service (CaaS)-Plattform zu stärken. Unsere Bibliothek aggregiert 95.000+ Erkennungs- und Reaktionsregeln, Parser, Suchanfragen und andere Inhalte, die CVE- und MITRE ATT&CK®-Frameworks zugeordnet sind. Interessiert an der Erstellung eigener Erkennungsinhalte? Treten Sie unserem Threat Bounty Program bei und tragen Sie zu den Bemühungen der Gemeinschaft beim Kampf gegen ständig auftretende Cyberbedrohungen bei.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen 3 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Gemeinsame Warnung von FBI und CISA vor großangelegten ClickFix-Angriffen by Veronika Telychko Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein 4 min zu lesen Neueste Bedrohungen Interlock-Ransomware-Erkennung: Angreifer setzen neue PHP-basierte RAT-Variante über FileFix ein by Veronika Telychko BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme 5 min zu lesen Neueste Bedrohungen BERT-Ransomware erkennen: Angriffe in Asien, Europa und den USA auf Windows- und Linux-Systeme by Veronika Telychko
Alle Nachrichten