Zeoticus 2.0: Cepa de Ransomware Malicioso Recibe una Gran Actualización

[post-views]
febrero 23, 2021 · 3 min de lectura
Zeoticus 2.0: Cepa de Ransomware Malicioso Recibe una Gran Actualización

A partir de diciembre de 2020, una nueva versión del ransomware Zeoticus ha estado atacando activamente a usuarios en la naturaleza. Zeoticus 2.0 viene con mejor rendimiento y capacidades mejoradas fuera de línea, representando una amenaza mayor para las empresas a nivel mundial.

¿Qué es el ransomware Zeoticus?

Zeoticus es una muestra de malware relativamente nueva que apareció en el escenario de amenazas cibernéticas en diciembre de 2019. Similar a otros múltiples hermanos maliciosos, Zeoticus se promociona bajo el modelo ransomware como servicio (RaaS) en varios foros y mercados de la dark web. Actualmente, el malware es específico de Windows, siendo capaz de atacar todas las versiones existentes del sistema operativo Windows, incluyendo Windows XP y versiones anteriores.

Zeoticus tiene dos métodos principales de distribución. El primero son correos electrónicos de spam incrustados con malware. Y el segundo son integraciones de software de terceros impulsadas por sitios web que ofrecen servicios de alojamiento gratuito y descargas pirateadas de punto a punto (P2P). Notablemente, el ransomware puede realizar verificaciones de geolocalización para evitar apuntar a usuarios de Rusia, Bielorrusia y Kirguistán. Tal selectividad da motivos para creer que los operadores de Zeoticus podrían ser de origen ruso.

Funciones Mejoradas de Zeoticus 2.0

La nueva versión Zeoticus 2.0, lanzada en septiembre de 2020, supera significativamente a sus predecesores en velocidad y eficiencia gracias a algoritmos de cifrado mejorados. Además, el malware recibió una notable actualización de sus capacidades offline, ahora siendo capaz de ejecutar sus cargas útiles sin depender de un servidor de comando y control (C&C).

El informe de Cyber Security Associates detalla que Zeoticus 2.0 aplica una combinación de cifrado asimétrico y simétrico para mejorar su rendimiento. El lado simétrico se basa en XChaCha20, mientras que el lado asimétrico usa la mezcla de Poly1305, XSalsa20 y Curve25519. Tal enfoque sirve bien para bloquear la mayoría de los archivos valiosos en el dispositivo de la víctima, incluidos archivos de audio, bases de datos, documentos, imágenes, presentaciones, hojas de cálculo y videos. La última versión del ransomware también recibió la capacidad de bloquear unidades remotas y detener procesos del sistema capaces de prevenir la rutina de cifrado, investigación de SentinelOne dice.

Durante el proceso de cifrado, Zeoticus compila un nuevo volumen con una nota de rescate dentro sobre la marcha. La nota instruye a las víctimas a contactar al atacante por correo electrónico, a diferencia de otras bandas de ransomware que típicamente prefieren un portal de pago basado en onion o similar. Además, se deja una copia de la nota de rescate en la raíz de la unidad del sistema.

Detección de Zeoticus 2.0

Mejora tu defensa proactiva contra el ransomware Zeoticus 2.0 con una nueva regla Sigma lanzada por nuestro prolífico desarrollador de Threat Bounty Osman Demir:

https://tdm.socprime.com/tdm/info/8DlhPQ0Osvzi/7j4JpncBTwmKwLA9R-kf/

La regla tiene traducciones a las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

Tácticas: Impacto

Técnicas: Datos Cifrados para Impacto (T1486)

A lo largo de 2020, el ransomware tomó con confianza las posiciones líderes entre las amenazas que desafían a empresas de todos los tamaños. Por lo tanto, la detección oportuna de actividades maliciosas se convierte en una tarea prioritaria. Consulta las reglas de detección dedicadas de SOC Prime en el Mercado de Detección de Amenazas para protegerse contra las principales familias de ransomware de 2020.

Suscríbete al Mercado de Detección de Amenazas para potenciar tus capacidades de defensa cibernética con una plataforma de contenido como servicio (CaaS) pionera en la industria. Nuestra biblioteca agrega más de 95,000 reglas de Detección y Respuesta, parsers, consultas de búsqueda y otro contenido mapeado a CVE y marcos MITRE ATT&CK®. ¿Interesado en crear tu propio contenido de detección? Únete a nuestro Programa de Recompensas de Amenazas y contribuye a los esfuerzos de la comunidad para combatir las amenazas cibernéticas emergentes constantemente.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la Técnica de Ingeniería Social ClickFix 4 min de lectura Últimas Amenazas Detección de Interlock Ransomware: Alerta Conjunta del FBI y CISA sobre Ataques Masivos con la Técnica de Ingeniería Social ClickFix by Veronika Telychko Detección del ransomware Interlock: actores maliciosos despliegan una nueva variante de RAT basada en PHP vía FileFix 4 min de lectura Últimas Amenazas Detección del ransomware Interlock: actores maliciosos despliegan una nueva variante de RAT basada en PHP vía FileFix by Veronika Telychko Detección de Actividad del Grupo de Ransomware BERT: Ataques en Asia, Europa y EE. UU. contra Plataformas Windows y Linux 5 min de lectura Últimas Amenazas Detección de Actividad del Grupo de Ransomware BERT: Ataques en Asia, Europa y EE. UU. contra Plataformas Windows y Linux by Veronika Telychko
Todas las noticias