Détection du Ransomware LostTrust : Avancée de SFile et Mindware, Successeur du Gang MetaEncryptor
Table des matières :
Le nouveau ransomware LostTrust est apparu dans le paysage des menaces cybernétiques au début du printemps 2023. Cependant, la campagne de l’adversaire n’a fait les gros titres qu’en septembre, lorsque des opérateurs de ransomware ont été observés en train d’exploiter des sites de fuite de données et des charges utiles très similaires aux outils offensifs utilisés par le gang MetaEncryptor. Les défenseurs expriment des préoccupations face à la multiplication des menaces, plus de 50 victimes de LostTrust à travers le monde ayant été compromises par des intrusions de ransomware.
Détecter les Attaques du Ransomware LostTrust
L’émergence d’attaques de ransomware à extorsion multiple qui exercent plus de pression sur les victimes alimente le besoin de renforcer les capacités défensives pour prévenir de telles menaces. Les campagnes de ransomware LostTrust, qui suscitent des remous depuis le début de l’automne 2023, exposent de nombreuses organisations mondiales à des risques croissants d’intrusions. La plateforme SOC Prime propose une nouvelle règle Sigma pour la détection d’attaques de ransomware LostTrust disponible via un lien ci-dessous:
Cet algorithme de détection est écrit par notre développeur Threat Bounty passionné, Aung Kyaw Min Naing. Rejoignez les rangs de l’initiative participative de SOC Prime pour apporter votre contribution à la défense cybernétique collective en écrivant, partageant et gagnant une chance de monétiser votre propre code de détection.
La règle Sigma mentionnée ci-dessus est mappée au cadre MITRE ATT&CK se concentrant sur la tactique Impact et la technique Données chiffrées pour Impact (T1486). Vérifiez les renseignements adaptés liés au contenu et convertissez instantanément le code en plusieurs formats de requêtes des solutions SIEM, EDR, XDR et Data Lake correspondantes.
Lors de la détection de nouvelles menaces, le temps est d’une valeur primordiale. Cliquez sur Explorer les Détections pour consulter plus de 800 règles Sigma pour la détection de ransomware et plonger dans le CTI, examiner les TTP de l’adversaire, trouver des mitigations et accéder à d’autres métadonnées exploitables pour ne jamais manquer une miette.
Analyse du Ransomware LostTrust
Les familles de ransomware modernes ont tendance à appliquer des approches d’extorsion double et multiple pour renforcer leurs capacités offensives. Au début de l’automne 2023, une nouvelle menace d’extorsion multiple connue sous le nom de ransomware LostTrust est apparue au grand jour, avec les premières attaques réalisées en mars. Selon la recherche de SentinelOne, LostTrust a évolué à partir des familles de ransomwares SFile et Mindware. Elles présentent toutes des capacités similaires au ransomware MetaEncryptor, ce qui permet de supposer que LostTrust pourrait être un rebranding de ce dernier. De plus, MetaEncryptor et LostTrust partagent des similitudes sur les sites de fuite de données et les systèmes de cryptage qu’ils utilisent.
Les charges utiles de LostTrust cherchent activement et terminent une large gamme de services et d’opérations critiques, principalement liés à Microsoft Exchange, MSSQL, SharePoint, Tomcat, etc. De plus, le malware tente d’éliminer VSS et de supprimer tous les journaux d’événements Windows.
Les capacités partagées entre Mindware, SFile et LostTrust servent de preuve que ce dernier est une évolution de cette lignée. Par exemple, les souches malveillantes de LostTrust sont basées sur SFile. De même que ses prédécesseurs, LostTrust gère les exclusions via des modèles/chaînes, tandis que ses inclusions et exclusions de cryptage ressemblent à celles de Mindware et SFile. De plus, la structure de la note de rançon dans les campagnes LostTrust est similaire aux opérations de Mindware.
Quant aux sites de fuite, certaines des victimes répertoriées sur les ressources de LostTrust avaient déjà été présentées sur des sites de fuite liés aux opérateurs de ransomware Royal, LockBit 3, et Medusa.
Les risques croissants d’attaques de ransomware émergentes nécessitent une attention rapide de la part des défenseurs pour aider les organisations à prévenir les dommages à la réputation. Comptez sur Threat Detection Marketplace pour explorer un flux global de plus de 300K+ algorithmes de détection enrichis en contexte correspondant à votre secteur d’activité, profil de menace, sources de journaux spécifiques à l’organisation et pile technologique utilisée.
