LockBit 3.0 ランサムウェア検出:改良されたオペレーション

[post-views]
7月 06, 2022 · 6 分で読めます
LockBit 3.0 ランサムウェア検出:改良されたオペレーション

LockBit グループが戻り、新しいランサムウェアの系統、LockBit 3.0を導入します。 敵対者は彼らの最新リリースを LockBit Black と名付け、新しい恐喝戦術を追加し、既存のBitcoinとMoneroの暗号通貨支払いオプションに加えて、Zcashでの支払いオプションを導入しました。

今回、LockBitのハッカーたちは、サイバー犯罪集団が開始した初のバグ・バウンティプログラムを展開することで注目を集めています。あらゆるタイプのハッカーへの呼びかけの中で、敵対者はバグまたは改善案の提出に対し、1000ドルから100万ドルの報奨金を約束しています。最高賞は、LockBitSuppとして知られるアフィリエイトマネージャーを最初に特定した人にも提供されます。

LockBit 3.0 マルウェアの検出

組織がインフラをより良く保護するのを支援するために、我々の鋭いThreat Bounty開発者 Kaan Yeniyol は最近、専用の Sigmaルール をリリースしました。このルールはLockBit 3.0のマルウェアを迅速に検出することを可能にします。セキュリティチームは、SOC PrimeのDetection as Code Platformからこれらのルールをダウンロードできます。

疑わしいLockBit Black (3.0) ランサムウェア実行による関連コマンドの検出(cmdline経由)

この検出は、次のSIEM、EDR & XDRプラットフォームの翻訳を含んでいます:Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Chronicle Security、LimaCharlie、SentinelOne、Microsoft Defender ATP、CrowdStrike、Apache Kafka ksqlDB、Carbon Black、Securonix、Snowflake、Open Distro。

そのルールは、 MITRE ATT&CK® フレームワーク v.10にマップされており、Execution戦術をコマンドとスクリプティングインタープリタ(T1059)を主要技術として扱っています。

あなた自身のSigmaとYARAルールを作成して世界をより安全にしませんか?我々の 開発者プログラム に参加して、あなたの貴重なフィードバックに対して定期的な報酬を得ましょう!

LockBitのハッカーに関連するあらゆるランサムウェアの系統を検出するためのSigmaルールの完全なリストは、すべての登録済みDetection as Code Platformユーザーが利用可能です。注意深くキュレートされ検証された検出を探索するには、 Detect & Hunt ボタンを押してください。未登録ユーザーは、LockBitランサムウェアに特化したルールキットと関連するコンテキストメタデータにアクセスするために、 脅威コンテキストを探索する ボタンを押してください。

Detect & Hunt 脅威コンテキストを探索する

LockBit 3.0 分析

LockBitグループは2019年に初めて表面化し、2021年6月に再浮上しました LockBit 2.0 ランサムウェア系統で。操作は、 最も精力的 なものと見なされ、悪名高いグループの被害者数で先を行っています Black Basta, 、HiveConti.

LockBitチームはその範囲を絶えず拡大し、革新的なソリューションを導入し、ランサムウェア市場の試行錯誤したフォーミュラを取り入れています。セキュリティアナリストは、LockBit 3.0操作で実装された変更のうち、未だ知られていないものがいくつ残っているか予測するのは困難であると警告しています。最近明らかにされた研究データによれば、LockBit Blackは、昨年の多くの著名な攻撃に使用された BlackMatter ランサムウェアにコードの類似性を持っています。研究者たちは、元BlackMatter開発者が最新のLockBit系統の作成に参加した可能性があると推測しています。

Zcashでの支払いとバグバウンティプログラムなど、最近導入された新規事項の中で、LockBitは今では犠牲者の盗難データを販売しています。

このおよび他の新たに登場する脅威による妥協の兆候をタイムリーに追跡するには、我々のグローバルなサイバーセキュリティコミュニティに参加して、協力的なサイバー防御の利益を活用してください SOC Prime’s Detection as Code プラットフォーム。経験豊富なプロフェッショナルが提供する正確でタイムリーな検出を利用し、SOCチームの運用とセキュリティ姿勢を強化してください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Interlockランサムウェアの検出:FBIとCISAがClickFixを悪用した大規模攻撃に共同警告 5 分で読めます 最新の脅威 Interlockランサムウェアの検出:FBIとCISAがClickFixを悪用した大規模攻撃に共同警告 by Veronika Telychko Interlockランサムウェアの検出:FileFix経由で新たなPHPベースのRATを展開 7 分で読めます 最新の脅威 Interlockランサムウェアの検出:FileFix経由で新たなPHPベースのRATを展開 by Veronika Telychko BERTランサムウェアの検出:WindowsとLinuxを標的としたアジア・欧州・米国での攻撃 8 分で読めます 最新の脅威 BERTランサムウェアの検出:WindowsとLinuxを標的としたアジア・欧州・米国での攻撃 by Veronika Telychko
すべてのニュース