Detección de Ransomware LostTrust: Avance de SFile y Mindware, Sucesor de la Banda MetaEncryptor

El ransomware novedoso LostTrust emergió en el panorama de amenazas cibernéticas a principios de la primavera de 2023. Sin embargo, la campaña del adversario acaparó los titulares solo en septiembre cuando se observó a los operadores de ransomware utilizando sitios de filtración de datos y cargas útiles bastante similares a las herramientas ofensivas utilizadas por la banda MetaEncryptor. Los defensores están elevando preocupaciones en respuesta a las crecientes amenazas, ya que más de 50 víctimas de LostTrust de todo el mundo han sido comprometidas por intrusiones de ransomware.

Detectar ataques de Ransomware LostTrust

La aparición de ataques de ransomware de multi-extorsión que ejercen más presión sobre las víctimas impulsa la necesidad de fortalecer las capacidades defensivas para prevenir tales amenazas. Las campañas de ransomware LostTrust que han estado causando revuelo desde el inicio del otoño de 2023 exponen a múltiples organizaciones globales a riesgos crecientes de intrusiones. La Plataforma SOC Prime ofrece una nueva regla Sigma para la detección de ataques de ransomware LostTrust disponible a través de un enlace a continuación:

Posible actividad de ejecución de payloads de la campaña de ransomware LostTrust mediante la detección de parámetros de CommandLine (a través de process_creation)

Este algoritmo de detección ha sido escrito por nuestro atento desarrollador Threat Bounty, Aung Kyaw Min Naing. Únete a las filas de la iniciativa de crowdsourcing de SOC Prime para hacer tu contribución a la defensa cibernética colectiva escribiendo, compartiendo y ganando la oportunidad de monetizar tu propio código de detección. 

La regla Sigma mencionada anteriormente está mapeada al marco MITRE ATT&CK abordando la táctica de Impacto y la técnica de Datos Cifrados para Impacto (T1486). Verifica la inteligencia ajustada vinculada al contenido y convierte instantáneamente el código a múltiples formatos de lenguaje de consulta de las correspondientes soluciones SIEM, EDR, XDR y Data Lake.

Al detectar amenazas emergentes, el tiempo es de valor supremo. Haz clic en Explorar Detecciones para profundizar en más de 800 reglas Sigma para detección de ransomware y explorar CTI, verificar TTPs del adversario, encontrar mitigaciones y acceder a otros metadatos accionables para no perderse nada.  

Explorar Detecciones

Análisis de Ransomware LostTrust

Las familias de ransomware modernas tienden a aplicar enfoques de doble y multi-extorsión para mejorar sus capacidades ofensivas. A principios del otoño de 2023, una nueva amenaza de multi-extorsión conocida como ransomware LostTrust salió a la luz, con los primeros ataques realizados en marzo. Según la investigación de SentinelOne, LostTrust ha evolucionado de las familias de ransomware SFile y Mindware. Todos ellos exhiben capacidades similares al ransomware MetaEncryptor, lo que permite suponer que LostTrust puede ser una rebranding de este último. Además, MetaEncryptor y LostTrust comparten similitudes en los sitios de filtración de datos y cifradores que aplican.

Las cargas útiles de LostTrust buscan activamente y terminan una amplia gama de servicios y operaciones críticas, principalmente vinculadas a Microsoft Exchange, MSSQL, SharePoint, Tomcat, etc. Además, el malware intenta eliminar VSS y borrar todos los registros de eventos de Windows. 

Las capacidades compartidas entre Mindware, SFile y LostTrust sirven como evidencia de que este último es una evolución de este linaje. Por ejemplo, las cepas maliciosas de LostTrust se basan en SFile. De manera similar a sus predecesores, LostTrust maneja exclusiones a través de patrón/cadena, mientras que sus inclusiones y exclusiones de cifrado son similares a las de los ransomware Mindware y SFile. Además, la estructura de la nota de rescate en las campañas de LostTrust es similar a las operaciones de Mindware.

En cuanto a los sitios de filtración, algunas de las víctimas listadas en los recursos de LostTrust habían sido previamente destacadas en sitios de filtración relacionados con Royal, LockBit 3, y operadores de ransomware Medusa. 

Los crecientes riesgos de los ataques de ransomware emergentes requieren una atención pronta por parte de los defensores para ayudar a las organizaciones a prevenir daños reputacionales. Confía en Threat Detection Marketplace para explorar un feed global de más de 300,000 algoritmos de detección enriquecidos por contexto que coincidan con tu industria, perfil de amenazas, fuentes de registro específicas de la organización y stack tecnológico en uso.