Zeoticus 2.0: La Minacciosa Variante di Ransomware Riceve un Aggiornamento Importante

[post-views]
Febbraio 23, 2021 · 4 min di lettura
Zeoticus 2.0: La Minacciosa Variante di Ransomware Riceve un Aggiornamento Importante

A partire da dicembre 2020, una nuova versione del ransomware Zeoticus ha preso di mira attivamente gli utenti in natura. Zeoticus 2.0 offre migliori prestazioni e capacità offline potenziate, rappresentando una minaccia maggiore per le aziende a livello globale.

Che cos’è il Ransomware Zeoticus?

Zeoticus è un campione di malware relativamente nuovo, apparso nell’arena delle minacce informatiche a dicembre 2019. Simile a molti altri fratelli dannosi, Zeoticus è promosso secondo il modello ransomware-as-a-service (RaaS) su vari forum e mercati del dark web. Attualmente il malware è specifico per Windows, essendo in grado di prendere di mira tutte le versioni esistenti del sistema operativo Windows, inclusi Windows XP e versioni precedenti.

Zeoticus ha due principali metodi di distribuzione. Il primo sono le email di spam infettate da malware. Il secondo sono le integrazioni di software di terze parti spinte da siti web che offrono servizi di hosting gratuiti e download peer-to-peer (P2P) pirata. Notoriamente, il ransomware può eseguire controlli geolocalizzati per evitare di prendere di mira utenti da Russia, Bielorussia e Kirghizistan. Tale selettività dà motivo di credere che gli operatori di Zeoticus potrebbero essere di origine russa.

Funzioni migliorate di Zeoticus 2.0

La nuova versione Zeoticus 2.0, rilasciata a settembre 2020, supera significativamente i suoi predecessori in velocità ed efficienza grazie ad algoritmi di crittografia potenziati. Inoltre, il malware ha ricevuto un evidente aggiornamento delle sue capacità offline, ora essendo in grado di eseguire i suoi payload senza fare affidamento su un server di comando e controllo (C&C).

Il rapporto di Cyber Security Associates riporta che Zeoticus 2.0 applica una combinazione di crittografia asimmetrica e simmetrica per migliorare le sue prestazioni. La parte simmetrica si basa su XChaCha20, mentre la parte asimmetrica utilizza la combinazione di Poly1305, XSalsa20 e Curve25519. Un tale approccio serve bene per bloccare la maggior parte dei file di valore sul dispositivo della vittima, inclusi archivi, file audio, database, documenti, immagini, presentazioni, fogli di calcolo e video. L’ultima versione del ransomware ha anche ottenuto la capacità di bloccare unità remote e di terminare i processi di sistema in grado di prevenire la routine di crittografia, secondo la ricerca di SentinelOne.

Durante il processo di crittografia, Zeoticus compila un nuovo volume con una nota di riscatto all’interno al volo. La nota istruisce le vittime a contattare l’attaccante via email, a differenza di altre bande ransomware che in genere preferiscono un portale di pagamento basato su onion o simili. Inoltre, una copia della nota di riscatto viene lasciata alla radice dell’unità di sistema.

Rilevamento di Zeoticus 2.0

Rafforza la tua difesa proattiva contro il ransomware Zeoticus 2.0 con una nuova regola Sigma rilasciata dal nostro prolifico sviluppatore di Threat Bounty Osman Demir:

https://tdm.socprime.com/tdm/info/8DlhPQ0Osvzi/7j4JpncBTwmKwLA9R-kf/

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

Tattiche: Impatto

Tecniche: Dati Crittografati per Impatto (T1486)

Durante tutto il 2020, i ransomware hanno preso posizioni di leadership tra le minacce che sfidano le aziende di tutte le dimensioni. Pertanto, il rilevamento tempestivo dell’attività dannosa diventa un compito prioritario. Controlla le regole di rilevamento dedicate di SOC Prime sul Threat Detection Marketplace per proteggerti contro le principali famiglie di ransomware del 2020.

Iscriviti al Threat Detection Marketplace per potenziare le tue capacità di difesa informatica con una piattaforma di contenuti-as-a-service (CaaS) primaverale nel settore. La nostra libreria aggrega oltre 95.000 regole di rilevamento e risposta, parser, query di ricerca e altri contenuti mappati ai framework CVE e MITRE ATT&CK®. Interessato a creare il tuo contenuto di rilevamento? Unisciti al nostro Programma Threat Bounty e contribuisci agli sforzi della comunità nel combattere le minacce informatiche in continua evoluzione.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento del Ransomware Interlock: Allerta Congiunta di FBI e CISA sugli Attacchi su Larga Scala tramite ClickFix 4 min di lettura Ultime Minacce Rilevamento del Ransomware Interlock: Allerta Congiunta di FBI e CISA sugli Attacchi su Larga Scala tramite ClickFix by Veronika Telychko Rilevamento ransomware Interlock: distribuita nuova variante RAT basata su PHP tramite FileFix 5 min di lettura Ultime Minacce Rilevamento ransomware Interlock: distribuita nuova variante RAT basata su PHP tramite FileFix by Veronika Telychko Individuazione del Ransomware BERT: Attacchi in Asia, Europa e USA su Sistemi Windows e Linux 6 min di lettura Ultime Minacce Individuazione del Ransomware BERT: Attacchi in Asia, Europa e USA su Sistemi Windows e Linux by Veronika Telychko
Tutte le notizie