FONIXランサムウェア・アズ・ア・サービスの検出

別のRansomware as a Serviceプラットフォームが組織と高リスクのゲームをしようとしています。Sentinel Labsの研究者は 発見しました FONIXプラットフォームを使用した最初の攻撃を約3か月前に。今、この RaaSプラットフォームは まだ活発に開発中ですが、最初の顧客は既にその能力を試しています。これまでのところ、FONIXは非常に使いにくく、暗号化プロセスがかなり遅いですが、ランサムウェアがほとんどのセキュリティソリューションによってうまく検出されません。そして、この最後の品質が主要な欠点を上回るかもしれません。さらに、悪意のあるサンプルを取得して攻撃中に使用することは完全に無料です：FONIXの作成者は後で身代金支払い金額の25％を受け取ります。

FONIXランサムウェア、遅いが効果的

暗号化の遅さは、攻撃中に特定のタイプのファイルではなく、重要なシステムファイルを除くすべてを暗号化するという事実によるものです。攻撃を遅らせるもう一つの要因は、暗号化プロセス中に複数の暗号化プロトコル（Chacha、AES、Salsa20、AES）の混合を利用することです。おそらくこのアプローチは、この分野で経験の浅い作成者が安全にデータを自分で復号できないことを保証するために速度を犠牲にしていることを示しています。研究者は、敵対者がバイナリクリプターの開発に関与したと考えています。

メール通信とファイルの脱出

ほとんどのRaaSプラットフォームとは異なり、FONIXには悪意のあるキャンペーンを追跡および管理するためのダッシュボードがありません。代わりに、FONIXの作成者は被害者との通信を匿名化するためのメールサービスに取り組んでいます（おそらくアフィリエイト活動を追跡するためにも）。しかし現時点では、アフィリエイトは通信のためにサードパーティのメールサービスを使用せざるを得ず、リスクを負っています。ファイルを復号化して復号ツールを取得するために、身代金を受け取った後、サイバー犯罪者はランサムウェアの作成者に頼らざるを得ませんが、これも追加のリスクを伴います。
検出された攻撃では、アフィリエイトがデータを盗むことなく、被害者が恐怖から身代金を支払わせるために開示の脅威を利用しませんでした。しかし、これは攻撃者の未熟さを示しています。経験豊富なサイバー犯罪者は、システムの暗号化前に機密情報を流出させる可能性があります。

これまでのところ、このランサムウェアを使用した派手な攻撃はなく、 Osman Demir はこれを検出するためのコミュニティの脅威狩りルールを開発しました： https://tdm.socprime.com/tdm/info/YYuWsuf9iDSA/CEPBDHUBR-lx4sDxrTcs/

このルールは以下のプラットフォームでの翻訳があります：

SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Elastic Endpoint

MITRE ATT&CK: 

戦術: 影響, 持続性

技術: 影響のためのデータ暗号化 (T1486), レジストリ実行キー/スタートアップフォルダ (T1060)

SOC Prime Threat Detection Marketplaceを試してみませんか？ 無料でサインアップします。または Threat Bounty Programに参加 して独自のコンテンツを作成し、Threat Detection Marketplaceコミュニティと共有します。