Rilevamento del Ransomware Zola: La Famiglia Proton si Evolva con una Nuova Variante di Ransomware con Interruttore di Spegnimento
Indice:
A seguito di attacchi in-the-wild che sfruttano CVE-2024-37085 da parte di vari gruppi di ransomware, i difensori incontrano una nuova variante della nefasta famiglia di ransomware Proton denominata Zola. La variante Zola mostra capacità sofisticate grazie alle molteplici iterazioni e aggiornamenti della famiglia di ransomware, incorporando l’escalation dei privilegi, la funzionalità di sovrascrittura del disco e un interruttore di blocco che termina i processi se viene rilevata una tastiera persiana.
Rilevamento degli attacchi del ransomware Zola
Secondo un report di Statista rapporto, ci sono stati 317,59 milioni di attacchi ransomware a livello globale nel 2023, evidenziando un’escalation continua sia in termini di scala che di sofisticazione di questi attacchi. I gruppi di ransomware evolvono costantemente il loro set di strumenti malevoli, con nuove varianti malevole che emergono quotidianamente nell’arena cibernetica.
La più recente minaccia per i difensori cibernetici è una nuova variante della famiglia di ransomware Proton, denominata Zola. Per rilevare gli attacchi di Zola nelle loro fasi iniziali, i professionisti della sicurezza possono fare affidamento sulla piattaforma SOC Prime per la difesa cibernetica collettiva, che aggrega regole di rilevamento rilevanti e offre soluzioni avanzate di rilevamento delle minacce e di caccia per rafforzare la postura di sicurezza delle organizzazioni.
Premere il pulsante Esplora Rilevamenti qui sotto per accedere immediatamente a uno stack di rilevamento completo progettato per affrontare le attività malevole associate agli attacchi di ransomware Zola. Tutte le regole di rilevamento sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e sono mappate sul framework MITRE ATT&CK. Inoltre, gli algoritmi di rilevamento sono arricchiti con ampi metadati, inclusi CTI riferimenti, linee temporali degli attacchi e raccomandazioni per il triage, semplificando l’investigazione della minaccia.
Gli esperti di sicurezza alla ricerca di contenuti di rilevamento aggiuntivi per affrontare i più recenti attacchi ransomware e indagare sulla loro evoluzione retrospettivamente possono fare affidamento sul Threat Detection Marketplace di SOC Prime. Applicando il tag “ransomware“, i difensori cibernetici possono trovare una raccolta completa di regole e query rilevanti.
Analisi del Ransomware Zola
L’emergere di nuove varianti di ransomware è diventato comune nell’ultimo decennio, con alcune di esse che aumentano in sofisticazione e persistenza, sperimentando nuove iterazioni ed evolvendo attraverso il rebranding, il che incoraggia i difensori a rimanere sempre all’erta. I ricercatori di Acronis hanno recentemente scoperto il ransomware Zola, una versione rebrandizzata della famiglia Proton, apparsa all’inizio della primavera 2023.
Come le sue decine di predecessori, Zola utilizza Mimikatz, diverse utilità per superare le protezioni di Windows Defender e altri strumenti offensivi per il compromesso iniziale. Zola condivide anche una somiglianza con le precedenti varianti della famiglia creando un mutex al momento dell’esecuzione per prevenire esecuzioni concorrenti. Tuttavia, l’ultima iterazione si distingue dalle precedenti per una funzione di interruttore di blocco che termina i processi al rilevamento di una tastiera persiana.
Se l’interruttore di blocco non viene attivato, Zola verifica i diritti di amministrazione e inganna la vittima inducendola a eseguire l’eseguibile con privilegi elevati se la verifica non ha successo. Prima di criptare i file, Zola svolge diverse azioni preparatorie, incluse la generazione di un ID vittima unico e dati di chiave, svuotare il Cestino, modificare la configurazione di avvio e cancellare le copie shadow per prevenire il recupero. Prende anche di mira vari processi e servizi elencati nel suo binario, inclusi il software di sicurezza e altri programmi che potrebbero ostacolare il criptaggio bloccando i file.
Una volta completate le azioni preparatorie, Zola avvia diversi thread per criptare i file e deposita una nota di riscatto in ogni cartella crittografata. Inoltre, cambia lo sfondo del desktop per visualizzare linee guida per la vittima su come inviare un’email agli avversari con il loro ID unico.
Similmente ad altre iterazioni basate su Proton, Zola conserva una capacità di sovrascrittura del disco. Quasi alla fine dell’esecuzione, genera un file temporaneo sotto C:, scrivendo dati non inizializzati in blocchi da 500 KB fino a quando il disco non è pieno, quindi eliminando il file. Questo metodo dell’avversario è inteso a ostacolare l’analisi antimalware e il recupero dei dati sovrascrivendo qualsiasi spazio inutilizzato rimanente sul disco.
L’aumento di nuove iterazioni di ransomware, come Zola, che mantiene le caratteristiche fondamentali dalle versioni precedenti introducendo funzioni più avanzate, richiede modi più sofisticati per contrastare le minacce in evoluzione. La suite completa di prodotti di SOC Prime per l’ingegneria di rilevamento basata sull’intelligenza artificiale, la caccia automatizzata alle minacce e la validazione dello stack di rilevamento aiuta le organizzazioni a evolvere le loro difese su vasta scala, contando sul team e sullo stack tecnologico che già hanno.
