Rilevamento del ransomware LostTrust: Avanzamento di SFile e Mindware, successore della banda MetaEncryptor
Indice:
Il nuovo ransomware LostTrust è emerso nel panorama delle minacce informatiche all’inizio della primavera 2023. Tuttavia, la campagna degli avversari è salita agli onori della cronaca solo a settembre, quando si è osservato che gli operatori ransomware sfruttavano siti di fughe di dati e payload piuttosto simili agli strumenti offensivi utilizzati dal gruppo MetaEncryptor. I difensori stanno sollevando preoccupazioni in risposta alle crescenti minacce, poiché oltre 50 vittime di LostTrust in tutto il mondo sono state compromesse da intrusioni ransomware.
Rileva Attacchi di Ransomware LostTrust
L’emergere di attacchi ransomware multi-estorsione che mettono maggiore pressione sulle vittime alimenta la necessità di rafforzare le capacità difensive per prevenire tali minacce. Le campagne di ransomware LostTrust che stanno causando scalpore dall’inizio dell’autunno 2023 espongono molteplici organizzazioni globali a crescenti rischi di intrusioni. La piattaforma SOC Prime offre una nuova regola Sigma per il rilevamento di attacchi ransomware LostTrust disponibile tramite il link sottostante:
Questo algoritmo di rilevamento è scritto dal nostro bravo sviluppatore di Threat Bounty, Aung Kyaw Min Naing. Unisciti ai ranghi dell’iniziativa crowdsourced di SOC Prime per dare il tuo contributo alla difesa informatica collettiva scrivendo, condividendo e guadagnando la possibilità di monetizzare il tuo codice di rilevamento.
La suddetta regola Sigma si mappa al framework MITRE ATT&CK affrontando la tattica Impact e la tecnica Data Encrypted for Impact (T1486). Verifica l’intelligence personalizzata collegata al contenuto e converti istantaneamente il codice in più formati di linguaggio di query delle corrispondenti soluzioni SIEM, EDR, XDR e Data Lake.
Nel rilevare le minacce emergenti, il tempo è di valore fondamentale. Clicca su Esplora Rilevamenti per approfondire oltre 800 regole Sigma per il rilevamento di ransomware e esplorare CTI, controllare i TTP degli avversari, trovare mitigazioni e raggiungere altri metadata azionabili per non perdere nemmeno un bit.
Analisi del Ransomware LostTrust
Le moderne famiglie di ransomware tendono ad applicare approcci di doppia e multi-estorsione per migliorare le loro capacità offensive. All’inizio dell’autunno 2023, una nuova minaccia di multi-estorsione conosciuta come il ransomware LostTrust è emersa alla ribalta, con i primi attacchi effettuati già a marzo. Secondo il ricerca di SentinelOne, LostTrust si è evoluto dalle famiglie di ransomware SFile e Mindware. Tutte mostrano capacità simili al ransomware MetaEncryptor, il che consente di supporre che LostTrust possa essere una riproduzione di quest’ultimo. Inoltre, MetaEncryptor e LostTrust condividono somiglianze nei siti di fuga di dati e negli encryptor che applicano.
I payload di LostTrust cercano attivamente e terminano una vasta gamma di servizi e operazioni critiche, principalmente collegati a Microsoft Exchange, MSSQL, SharePoint, Tomcat, ecc. Inoltre, il malware tenta di eliminare VSS e cancellare tutti i Log degli Eventi di Windows.
Le capacità condivise tra Mindware, SFile e LostTrust servono come prova che quest’ultimo è un’evoluzione di questa linea. Ad esempio, le varianti malevole di LostTrust si basano su SFile. Similmente ai suoi predecessori, LostTrust gestisce le esclusioni tramite pattern/stringa, mentre le sue inclusioni ed esclusioni di cifratura sono simili a quelle dei ransomware Mindware e SFile. Inoltre, la struttura della nota di riscatto nelle campagne LostTrust è simile alle operazioni di Mindware.
Per quanto riguarda i siti di fuga, alcune delle vittime elencate nelle risorse di LostTrust erano precedentemente apparse su siti di fuga relativi agli operatori di ransomware Royal, LockBit 3, e Medusa.
I rischi crescenti degli attacchi ransomware emergenti richiedono un’attenzione tempestiva da parte dei difensori per aiutare le organizzazioni a prevenire il danno reputazionale. Affidati al Threat Detection Marketplace per esplorare un feed globale di oltre 300K algoritmi di rilevamento arricchiti di contesto che si abbinano alla tua industria, profilo di minaccia, fonti di log specifici dell’organizzazione e stack tecnologico in uso.
