Détection du Ransomware Zola: La Famille Proton Évolue avec une Nouvelle Variante de Rançongiciel Dotée d’un Interrupteur d’arrêt
Table des matières :
À la suite des attaques réelles exploitant CVE-2024-37085 par divers gangs de ransomware, les défenseurs rencontrent une nouvelle variante de la famille de ransomwares infâmes Proton baptisée Zola. La souche Zola affiche des capacités sophistiquées résultant des multiples itérations et mises à niveau de la famille des ransomwares, incorporant l’escalade de privilèges, la fonctionnalité de réécriture de disque, et un interrupteur d’arrêt qui termine les processus si une disposition de clavier persan est détectée.
Détection des Attaques Ransomware Zola
Selon un rapport de Statista report, il y a eu 317,59 millions d’attaques par ransomware dans le monde en 2023, soulignant une escalade continue à la fois de l’échelle et de la sophistication de ces attaques. Les gangs de ransomware font évoluer régulièrement leur arsenal malveillant, avec de nouvelles souches malveillantes apparaissant quotidiennement sur la scène cyber.
La dernière menace pour les cyber-défenseurs est une nouvelle variante de la famille des ransomwares Proton, baptisée Zola. Pour détecter les attaques Zola à leurs premiers stades, les professionnels de la sécurité peuvent s’appuyer sur la plateforme SOC Prime pour une défense cybernétique collective, qui agrège des règles de détection pertinentes et offre des solutions avancées de détection et de chasse aux menaces pour renforcer la posture de sécurité des organisations.
Appuyez sur le bouton Explore Detections ci-dessous pour accéder instantanément à une pile de détection complète conçue pour contrer les activités malveillantes associées aux attaques de ransomware Zola. Toutes les règles de détection sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK. De plus, les algorithmes de détection sont enrichis de métadonnées étendues, y compris CTI des références, des chronologies d’attaque, et des recommandations de triage, simplifiant l’enquête sur les menaces.
Les experts en sécurité à la recherche de contenu de détection supplémentaire pour relever les derniers défis posés par les ransomwares et enquêter sur leur évolution de manière rétrospective peuvent se fier au Threat Detection Marketplacede SOC Prime. En appliquant le tag « ransomware« , les défenseurs peuvent trouver une collection complète de règles et de requêtes pertinentes.
Analyse du Ransomware Zola
L’émergence de nouvelles souches de ransomware est devenue courante au cours de la dernière décennie, certaines d’entre elles augmentant en sophistication et persistance, expérimentant de nouvelles itérations et évoluant à travers le rebranding, ce qui encourage les défenseurs à rester toujours en alerte. Les chercheurs d’Acronis ont récemment découvert Zola ransomware, une version rebrandée de la famille Proton, qui est apparue au début du printemps 2023.
Comme ses dizaines de prédécesseurs, Zola utilise Mimikatz, divers utilitaires pour contourner les protections de Windows Defender, et d’autres outils offensifs pour la compromission initiale. Zola partage également une similitude avec les souches précédentes de la famille en créant un mutex lors de l’exécution pour empêcher les exécutions concomitantes. Cependant, la dernière itération se distingue de ses prédécesseurs en intégrant un interrupteur d’arrêt qui met fin aux processus lors de la détection d’une disposition de clavier persan.
Si l’interrupteur d’arrêt n’est pas activé, Zola vérifie les droits d’administration et trompe la victime pour qu’elle exécute l’exécutable avec des privilèges élevés si la vérification échoue. Avant de crypter les fichiers, Zola effectue plusieurs actions préparatoires, notamment la génération d’un ID de victime unique et de données clé, le vidage de la Corbeille, la modification de la configuration de démarrage et la suppression des copies d’ombre pour empêcher la récupération. Il cible également divers processus et services répertoriés dans son binaire, y compris les logiciels de sécurité et d’autres programmes susceptibles d’entraver le chiffrement en verrouillant les fichiers.
Une fois les actions préparatoires terminées, Zola lance plusieurs threads pour crypter les fichiers et dépose une note de rançon dans chaque dossier crypté. De plus, il change le fond d’écran pour afficher des instructions à la victime pour envoyer un email aux adversaires avec leur ID unique.
Similairement aux autres itérations de ransomware basées sur Proton, Zola conserve une capacité de réécriture de disque. Presque à la fin de l’exécution, il génère un fichier temporaire sous C:, écrivant des données non initialisées en morceaux de 500 KB jusqu’à ce que le disque soit plein, puis supprimant le fichier. Cette méthode d’adversaire vise à entraver l’analyse anti-malware et la récupération de données en écrasant tout espace libre restant sur le disque.
La montée de nouvelles itérations de ransomware, telles que Zola, qui maintient les caractéristiques de base des versions antérieures tout en introduisant des fonctions plus avancées, nécessite des moyens plus sophistiqués pour contrer les menaces en évolution. La suite complète de produits de SOC Prime pour l’ingénierie de détection assistée par IA, la chasse automatisée aux menaces, et la validation des piles de détection aide les organisations à faire évoluer leurs défenses à grande échelle, en s’appuyant sur l’équipe et le stack technologique qu’elles ont déjà.
