Detección de Ransomware Zola: La Familia Proton Evoluciona con una Nueva Variante de Ransomware que Presenta un Interruptor de Apagado
Tabla de contenidos:
Siguiendo ataques en estado salvaje que explotan CVE-2024-37085 por diversas bandas de ransomware, los defensores encuentran una nueva variante de la nefasta familia de ransomware Proton denominada Zola. La cepa Zola muestra capacidades sofisticadas como resultado de las múltiples iteraciones y actualizaciones de la familia de ransomware, incorporando escalada de privilegios, funcionalidad de sobrescritura de disco y un interruptor de emergencia que termina procesos si se detecta un diseño de teclado persa.
Detección de Ataques de Ransomware Zola
Según un informede Statista, hubo 317.59 millones de ataques de ransomware a nivel mundial en 2023, destacando una escalada continua tanto en la escala como en la sofisticación de estos ataques. Las bandas de ransomware evolucionan constantemente su conjunto de herramientas maliciosas, con nuevas cepas maliciosas surgiendo en la arena cibernética diariamente.
La última amenaza para los defensores cibernéticos es una nueva variante de la familia de ransomware Proton, denominada Zola. Para detectar ataques de Zola en sus primeras etapas, los profesionales de seguridad pueden confiar en la Plataforma SOC Prime para defensa cibernética colectiva, que agrega reglas de detección relevantes y ofrece soluciones avanzadas de detección y caza de amenazas para fortalecer la postura de seguridad de las organizaciones.
Presione el botón Explorar Detecciones a continuación para acceder instantáneamente a una pila de detección integral diseñada para abordar actividades maliciosas asociadas con ataques de ransomware Zola. Todas las reglas de detección son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK. Además, los algoritmos de detección están enriquecidos con metadatos extensivos, incluyendo CTI referencias, lÃneas de tiempo de ataque y recomendaciones de clasificación, agilizando la investigación de amenazas.
Los expertos en seguridad que buscan contenido adicional de detección para abordar los últimos ataques de ransomware e investigar su evolución retrospectivamente pueden confiar en el Mercado de Detección de Amenazas de SOC Prime. Al aplicar la etiqueta «ransomware«, los defensores cibernéticos pueden encontrar una colección completa de reglas y consultas relevantes.
Análisis de Ransomware Zola
La aparición de nuevas cepas de ransomware se ha vuelto común en la última década, con algunas de ellas incrementando en sofisticación y persistencia, experimentando con nuevas iteraciones y evolucionando a través de la rebranding, lo que alienta a los defensores a estar siempre en alerta. Investigadores de Acronis han descubierto recientemente el ransomware Zola, una versión renombrada de la familia Proton, que apareció a principios de la primavera de 2023.
Como sus docenas de predecesores, Zola utiliza Mimikatz, diversas utilidades para superar las protecciones de Windows Defender, y otras herramientas ofensivas para el compromiso inicial. Zola también comparte una similitud con las cepas familiares anteriores al crear un mutex al iniciar para prevenir ejecuciones simultáneas. Sin embargo, la última iteración se destaca de sus predecesores al presentar un interruptor de emergencia que termina procesos al detectar un diseño de teclado persa.
Si el interruptor de emergencia no se activa, Zola verifica los derechos de administrador y engaña a la vÃctima para que ejecute el ejecutable con privilegios elevados si la verificación no tiene éxito. Antes de encriptar archivos, Zola lleva a cabo varias acciones preparatorias, incluyendo la generación de una ID de vÃctima única y datos clave, vaciar la Papelera de reciclaje, modificar la configuración de arranque y eliminar copias de sombra para prevenir la recuperación. También apunta a diversos procesos y servicios listados en su binario, incluyendo software de seguridad y otros programas que podrÃan impedir la encriptación al bloquear archivos.
Una vez que se completan las acciones preparatorias, Zola inicia varios hilos para encriptar archivos y deposita una nota de rescate en cada carpeta encriptada. Además, cambia el fondo del escritorio para mostrar directrices para que la vÃctima envÃe un correo electrónico a los adversarios con su ID única.
Al igual que otras iteraciones de ransomware basado en Proton, Zola retiene una capacidad de sobrescritura de disco. Casi al final de la ejecución, genera un archivo temporal en C:, escribiendo datos no inicializados en fragmentos de 500 KB hasta que el disco está lleno, luego elimina el archivo. Este método del adversario está destinado a dificultar el análisis antimalware y la recuperación de datos al sobrescribir cualquier espacio libre restante en el disco.
El aumento de nuevas iteraciones de ransomware, como Zola, que mantiene caracterÃsticas clave de versiones anteriores mientras introduce funciones más avanzadas, exige formas más sofisticadas de contrarrestar amenazas en evolución. La suite completa de productos de SOC Prime para ingenierÃa de detección impulsada por IA, caza de amenazas automatizada y validación de pila de detección ayuda a las organizaciones a evolucionar sus defensas a escala, confiando en el equipo y la pila tecnológica que ya tienen.
