Zola Ransomware-Erkennung: Proton-Familie entwickelt sich mit einer neuen Ransomware-Variante mit einem Kill-Switch weiter

Im Zuge von in-the-wild-Angriffen, die CVE-2024-37085 durch verschiedene Ransomware-Gangs ausgenutzt wird, stoßen Verteidiger auf eine neue Variante der berüchtigten Proton-Ransomware-Familie, die Zola genannt wird. Der Zola-Stamm zeigt aufgrund der zahlreichen Iterationen und Upgrades der Ransomware-Familie fortschrittliche Fähigkeiten, einschließlich Privilegieneskalation, Funktionalität zur Festplattenüberschreibung und eines Kill-Schalters, der Prozesse beendet, wenn ein persisches Tastaturlayout erkannt wird.

Erkennung von Zola-Ransomware-Angriffen

Laut einem Statista Berichtgab es 2023 weltweit 317,59 Millionen Ransomware-Angriffe, was eine kontinuierliche Eskalation sowohl im Umfang als auch in der Komplexität dieser Angriffe verdeutlicht. Ransomware-Gangs entwickeln stetig ihr bösartiges Werkzeugset weiter, wobei täglich neue bösartige Stämme auf der Cyber-Bühne auftauchen.

Die neueste Bedrohung für Cyber-Verteidiger ist eine neue Variante der Proton-Ransomware-Familie, genannt Zola. Um Zola-Angriffe in ihren frühesten Stadien zu erkennen, können sich Sicherheitsfachleute auf die SOC Prime Platform für kollektive Cyberverteidigung verlassen, die relevante Erkennungsregeln aggregiert und fortschrittliche Bedrohungserkennung und Jagdlösungen bietet, um die Sicherheitslage von Organisationen zu stärken.

Drücken Sie die Erkennnungen erkunden Schaltfläche unten, um sofort auf einen umfassenden Erkennungsstapel zuzugreifen, der entwickelt wurde, um bösartige Aktivitäten im Zusammenhang mit Zola-Ransomware-Angriffen zu adressieren. Alle Erkennungsregeln sind mit über 30 SIEM-, EDR- und Data Lake-Lösungen kompatibel und werden mit dem MITRE ATT&CK-Frameworkabgebildet. Darüber hinaus sind die Erkennungsalgorithmen mit umfangreichen Metadaten angereichert, einschließlich CTI Referenzen, Angriffschronologien und Triage-Empfehlungen, die die Bedrohungsuntersuchung vereinfachen.

Erkennnungen erkunden

Sicherheitsexperten, die nach zusätzlichem Erkennungsinhalt suchen, um die neuesten Ransomware-Angriffe zu bekämpfen und deren Entwicklung retrospektiv zu untersuchen, können sich auf SOC Primes Threat Detection Marketplaceverlassen. Durch Anwendung des Tags „ransomware“ können Cyber-Verteidiger eine umfassende Sammlung relevanter Regeln und Abfragen finden.

Zola-Ransomware-Analyse

Das Aufkommen neuer Ransomware-Stämme ist im letzten Jahrzehnt zur Normalität geworden, wobei einige von ihnen an Raffinesse und Ausdauer zunehmen, mit neuen Iterationen experimentieren und sich durch Rebranding weiterentwickeln, was Verteidiger dazu ermutigt, stets wachsam zu bleiben. Forscher bei Acronis haben kürzlich die Zola-Ransomware aufgedeckt, eine neugebrandete Version der Proton-Familie, die im frühen Frühling 2023 auftauchte.

Wie seine Dutzenden von Vorgängern verwendet Zola Mimikatz, verschiedene Dienstprogramme, um Windows Defender-Schutzfunktionen zu umgehen, und andere offensive Werkzeuge für den initialen Kompromiss. Zola teilt auch eine Gemeinsamkeit mit den früheren Familien-Stämmen, indem es beim Ausführen einen Mutex erstellt, um gleichzeitige Ausführungen zu verhindern. Die neueste Iteration unterscheidet sich jedoch von ihren Vorgängern durch einen Kill-Schalter, der Prozesse beendet, wenn ein persisches Tastaturlayout erkannt wird.

Wenn der Kill-Schalter nicht aktiviert ist, überprüft Zola auf Administratorrechte und führt den Benutzer hinters Licht, indem er das ausführbare Programm mit erhöhten Rechten ausführt, falls die Überprüfung nicht erfolgreich ist. Vor der Verschlüsselung von Dateien führt Zola mehrere vorbereitende Maßnahmen durch, darunter die Generierung einer eindeutigen Opfer-ID und Schlüsseldateien, das Entleeren des Papierkorbs, das Ändern der Startkonfiguration und das Löschen von Schattenkopien, um eine Wiederherstellung zu verhindern. Es zielt auch auf verschiedene Prozesse und Dienste ab, die in seinem Binärcode aufgeführt sind, einschließlich Sicherheitssoftware und anderer Programme, die die Verschlüsselung durch Sperren von Dateien behindern könnten.

Sobald die vorbereitenden Maßnahmen abgeschlossen sind, startet Zola mehrere Threads, um Dateien zu verschlüsseln, und hinterlässt in jedem verschlüsselten Ordner eine Lösegeldforderung. Zusätzlich ändert es das Desktop-Hintergrundbild, um Anweisungen für das Opfer anzuzeigen, die Angreifer mit ihrer einzigartigen ID zu kontaktieren.

Ähnlich wie andere Proton-basierte Ransomware-Iterationen behält Zola die Fähigkeit zur Festplattenüberschreibung. Fast am Ende der Ausführung erstellt es eine temporäre Datei unter C:, die nicht initialisierte Daten in 500-KB-Blöcken schreibt, bis die Festplatte voll ist, und löscht dann die Datei. Diese Methode des Angreifers soll Antimalware-Analysen und Datenwiederherstellung hindern, indem verbleibender Speicherplatz auf der Festplatte überschrieben wird.

Das Aufkommen neuer Ransomware-Iterationen, wie Zola, die Kernfunktionen früherer Versionen beibehalten, während sie fortschrittlichere Funktionen einführen, fordert anspruchsvollere Wege zur Bekämpfung sich entwickelnder Bedrohungen. SOC Primes komplette Produktsuite für KI-gestützte Erkennungstechnik, automatisierte Bedrohungsjagd und Validierung von Erkennungsstapeln hilft Organisationen dabei, ihre Verteidigung im großen Maßstab weiterzuentwickeln, indem sie sich auf das bestehende Team und die bestehende Technologiebasis verlassen.