Zeoticus 2.0 : Une souche de ransomware malveillante reçoit une mise à niveau majeure

[post-views]
février 23, 2021 · 4 min de lecture
Zeoticus 2.0 : Une souche de ransomware malveillante reçoit une mise à niveau majeure

À partir de décembre 2020, une nouvelle version du ransomware Zeoticus cible activement les utilisateurs dans la nature. Zeoticus 2.0 offre de meilleures performances et des capacités hors ligne améliorées, posant une menace plus importante aux entreprises du monde entier.

Qu’est-ce que le ransomware Zeoticus ?

Zeoticus est un échantillon de logiciel malveillant relativement nouveau apparu sur la scène des menaces cybernétiques en décembre 2019. Semblable à plusieurs autres homologues malveillants, Zeoticus est promu sous le modèle ransomware-as-a-service (RaaS) sur divers forums et marchés du dark web. Le malware cible actuellement spécifiquement les Windows, étant capable de s’attaquer à toutes les versions existantes du système d’exploitation Windows, y compris Windows XP et antérieurs.

Zeoticus a deux principales méthodes de distribution. La première est le spam par emails infectés par des logiciels malveillants. Et la deuxième est l’intégration de logiciels tiers poussée par des sites offrant des services d’hébergement gratuit et des téléchargements pirate peer-to-peer (P2P). Notamment, le ransomware peut effectuer des vérifications géographiques pour éviter de cibler les utilisateurs de Russie, de Biélorussie et du Kirghizistan. Cette sélectivité permet de croire que les opérateurs de Zeoticus pourraient être d’origine russe.

Fonctions améliorées de Zeoticus 2.0

La nouvelle version Zeoticus 2.0, sortie en septembre 2020, dépasse considérablement ses prédécesseurs en termes de rapidité et d’efficacité grâce à des algorithmes de chiffrement améliorés. De plus, le malware a subi une mise à niveau notable de ses capacités hors ligne, étant désormais capable d’exécuter ses charges utiles sans s’appuyer sur un serveur de commande et de contrôle (C&C).

Le rapport de Cyber Security Associates détaille que Zeoticus 2.0 applique une combinaison de chiffrement asymétrique et symétrique pour améliorer ses performances. Le côté symétrique repose sur XChaCha20, tandis que le côté asymétrique utilise le mélange de Poly1305, XSalsa20 et Curve25519. Une telle approche est efficace pour verrouiller la majorité des fichiers précieux sur l’appareil de la victime, y compris les archives, les fichiers audio, les bases de données, les documents, les images, les présentations, les feuilles de calcul et les vidéos. La dernière version du ransomware a également reçu la capacité de verrouiller les disques distants et de tuer les processus système pouvant empêcher la routine de chiffrement, selon la recherche de SentinelOne.

Au cours du processus de chiffrement, Zeoticus compile à la volée un nouveau volume avec une note de rançon à l’intérieur. La note demande aux victimes de contacter l’attaquant par email, contrairement à d’autres gangs de ransomwares qui préfèrent généralement un portail de paiement basé sur onion ou similaire. De plus, une copie de la note de rançon est laissée à la racine du lecteur système.

Détection de Zeoticus 2.0

Améliorez votre défense proactive contre le ransomware Zeoticus 2.0 avec une règle Sigma fraîche publiée par notre développeur prolifique Threat Bounty Osman Demir:

https://tdm.socprime.com/tdm/info/8DlhPQ0Osvzi/7j4JpncBTwmKwLA9R-kf/

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

Tactiques : Impact

Techniques : Données chiffrées pour l’impact (T1486)

Tout au long de 2020, les ransomwares ont pris les devants parmi les menaces qui défient les entreprises de toutes tailles. Par conséquent, la détection rapide des activités malveillantes devient une tâche prioritaire. Consultez les règles de détection dédiées de SOC Prime sur le Threat Detection Marketplace pour se protéger contre les grandes familles de ransomwares de 2020.

Abonnez-vous au Threat Detection Marketplace pour dynamiser vos capacités de défense cyber avec une plateforme de content-as-a-service (CaaS) inédite dans l’industrie. Notre bibliothèque regroupe plus de 95,000 règles de détection et de réponse, parseurs, requêtes de recherche et autres contenus mappés aux frameworks CVE et MITRE ATT&CK®. Intéressé à créer votre propre contenu de détection ? Rejoignez notre programme Threat Bounty et contribuez aux efforts communautaires pour combattre les menaces cyber en constante émergence.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection du Ransomware Interlock : Alerte Conjointe du FBI et de la CISA sur les Attaques Massives via la Technique ClickFix 4 min de lecture Dernières Menaces Détection du Ransomware Interlock : Alerte Conjointe du FBI et de la CISA sur les Attaques Massives via la Technique ClickFix by Veronika Telychko Détection du ransomware Interlock : déploiement d’un nouveau RAT en PHP via FileFix 5 min de lecture Dernières Menaces Détection du ransomware Interlock : déploiement d’un nouveau RAT en PHP via FileFix by Veronika Telychko Détection du Ransomware BERT : Attaques en Asie, Europe et aux États-Unis sur Windows et Linux 6 min de lecture Dernières Menaces Détection du Ransomware BERT : Attaques en Asie, Europe et aux États-Unis sur Windows et Linux by Veronika Telychko
Toutes les actualités