Phobosランサムウェアの検出：EKING攻撃に対抗するSOCコンテンツ

Phobosランサムウェアは、比較的新しいランサムウェアファミリーを表しており、 Dharma (CrySis)をベースにしています。この脅威は2016年から悪名高い存在です。Phobosの最初の痕跡は2019年の始めに発見されました。 SOC Prime Threat Detection Marketplaceは、85,000以上のコンテンツアイテムを持つ世界最大のSOCコンテンツプラットフォームであり、そのライブラリにはPhobosランサムウェアの検出シナリオも提供しています。PhobosランサムウェアのEKINGバリアントは2020年10月に出現し、 攻撃に使用され 政府機関をターゲットにしました。EKINGはファイルを暗号化し、デバイスに保存された重要なデータを侵害し、バックアップコピーを削除するファイルエンコーディングマルウェアです。感染したデータを復号することは組織にとって大変な挑戦です。なぜなら、EKINGの開発者だけが有効な暗号化ツールを持っており、それに対して身代金を要求します。

Phobosランサムウェアとは？

Phobosランサムウェアファミリーに属するマルウェアは、ハッキングされたRDP接続を介して拡散します。Phobosは通常、RDPサーバーを侵害し、組織のネットワークに侵入して最大限のシステムを感染させることで、侵害されたデータの復号に対する多額の身代金を取得しようとします。しかし、多くの被害者が復号のためにサイバー犯罪者に多額のお金を支払ったにも関わらず、それを受け取ることができませんでした。

おそらく、これが2020年10月にEKINGが注目された理由の一つです。複数の確認済みのケースで、対抗者がフィッシングメールを使ってEKINGを拡散したとされています。このPhobosランサムウェアのバリエーションは、組織のネットワーク全体にEKINGを拡散することを意図した悪意のあるマクロコードを含むMS Word文書の形式で現れました。

Phobosランサムウェアはどのようにしてコンピュータに侵入するのか？

FortiGuard Labsによる最新の 分析 では、フィッシングメールに添付されたMS Word文書を被害者が開いた後、悪意のあるバイナリがどのようにしてシステムに侵入するかを明らかにしています。ランサムウェアは感染したマシン上のファイルを暗号化するだけでなく、ネットワーク共有資源や新しく接続された論理ドライブもターゲットとします。暗号化プロセスを加速するために、EKINGは各論理ドライブに対して2つのスキャンスレッドを作成します：その1つは、データベース関連のファイルを発見し暗号化します。マルウェアはファイルの名前を変更し、その後身代金メッセージを生成します。これらのメッセージは感染したユーザーに対し、対抗者と連絡を取り、さらなる指示を期待するよう促します。

Phobosランサムウェア検出コンテンツ

Threat Bounty Programの開発者でThreat Detection Marketplaceコンテンツライブラリの最もアクティブな貢献者の一人であるEmir Erdoganが最近 新しいコミュニティSigmaルール を発表しました。これにより、組織はEKINGランサムウェア攻撃から保護することができます。

このルールは以下のSIEM、EDR、および他のセキュリティツールに対応しています：

• SIEMs: Azure Sentinel, Sumo Logic, Humio, Elastic Stack, ArcSight, QRadar, Splunk, Graylog, RSA NetWitness, LogPoint
• EDRs: Carbon Black
• Chronicle Security
• Apache Kafka ksqIDB
• Microsoft PowerShell
• Regex Grep

その他のSIEM、EDR、NTDR技術への対応もまもなく公開予定です。

公開されたルールはMITRE ATT&CK® フレームワークにマッピングされ、以下のATT&CK戦術と技術に対応します：

• 戦術: 影響、実行
• 技術: 影響のためのデータ暗号化(T1486)、ユーザー実行(1204)

Threat Detection Marketplaceでサイバー防御力を強化する準備はできていますか？ 無料でサインアップするか Threat Bounty Programに参加して 自分自身のSOCコンテンツを作成し、Threat Detection Marketplaceコミュニティ全体で共有しましょう。