LostTrustランサムウェア検出: SFileおよびMindwareの進化、MetaEncryptorギャングの後継者

新しいLostTrustランサムウェアが2023年春初めにサイバー脅威の中で登場しました。しかし、敵のキャンペーンは、9月になって初めて注目を集めました。この時、ランサムウェアの運用者がMetaEncryptorギャングが使用する攻撃ツールに非常に似たデータリークサイトとペイロードを利用していることが観測されたためです。世界中の50人以上のLostTrust被害者がランサムウェアの侵入によって侵害されており、防御側は増大する脅威に対して懸念を抱いています。

LostTrustランサムウェア攻撃を検知する

被害者にさらなる圧力をかける多重恐喝ランサムウェア攻撃の出現は、こうした脅威を未然に防ぐための防御能力の強化が求められていることを示しています。2023年秋の始まりから話題を呼んでいるLostTrustランサムウェアキャンペーンは、複数の世界的な組織を侵入のリスクにさらします。SOC Primeプラットフォームは、以下のリンクから利用可能なLostTrustランサムウェア攻撃検出のための新しいSigmaルールを提供しています：

コマンドラインパラメーターの検出（プロセス作成経由）によるLostTrustランサムウェアキャンペーンの可能性のあるペイロード実行活動

この検出アルゴリズムは、我々の優れたスレットバウンティ開発者によって書かれています。 アウン キョウ ミン ナイン。参加して、 SOC Primeのクラウドソースイニシアティブ に貢献し、自身の検出コードを執筆・共有して収益化の機会を得ましょう。

上述のSigmaルールは、 MITRE ATT&CKフレームワーク にマッピングされており、Impactの戦術およびImpactのためのデータの暗号化技法（T1486）に対応しています。コンテンツにリンクされたカスタマイズされたインテリジェンスを確認し、対応するSIEM、EDR、XDR、およびデータレイクソリューションの複数のクエリ言語形式にコードを即座に変換してください。

新興の脅威を検出する際、時間は非常に重要です。以下をクリックしてください 検出を探索 して、ランサムウェア検出の800以上のSigmaルールを詳しく調査し、CTIを掘り下げ、敵のTTPを確認し、リスク軽減策を見つけ、他の行動可能なメタデータを活用して情報を逃すことがないようにしましょう。

検出を探索

LostTrustランサムウェア分析

現代の ランサムウェア ファミリーは、その攻撃能力を強化するために二重および多重恐喝のアプローチを適用する傾向にあります。2023年初秋、LostTrustランサムウェアとして知られる新しい多重恐喝の脅威が注目を集め、最初の攻撃は3月に行われました。 SentinelOneの研究によれば、LostTrustはSFileとMindwareランサムウェアファミリーから進化しています。これらはすべて、MetaEncryptorランサムウェアと似た能力を示しており、LostTrustが後者を再ブランド化したものであると仮定することができます。さらに、MetaEncryptorとLostTrustは、彼らが適用するデータリークサイトと暗号化ツールにおいて類似点を共有しています。

LostTrustのペイロードは、主にMicrosoft Exchange、MSSQL、SharePoint、Tomcatなどに関連する多種類の重要なサービスとオペレーションを積極的に探し出し、停止を試みます。また、マルウェアはVSSを消去し、すべてのWindowsイベントログをクリアしようとします。

Mindware、SFile、LostTrustの間で共有される能力は、後者がこの系統の進化したものであることを示しています。たとえば、LostTrustの悪意あるストレインはSFileに基づいています。先行者と同様に、LostTrustはパターン/文字列を通じて除外を処理し、その暗号化の含めるものと除外するものはMindwareやSFileランサムウェアと類似しています。さらに、LostTrustキャンペーンの身代金要求メモの構造は、Mindwareの操作と似ています。

リークサイトに関しては、LostTrustのリソースにリストされている被害者の中には以前、Royalに関連するリークサイトで特集されていたものもあります。 LockBit 3とMedusaランサムウェア運用者です。

新たに出現するランサムウェア攻撃の増大するリスクは、組織の評判の損失を防ぐために、防御側から迅速な注意を必要とします。 Threat Detection Marketplace に頼り、あなたの業界、脅威プロファイル、組織特定のログソース、および使用中の技術スタックに一致する30万以上のコンテキストに基づいた検出アルゴリズムのグローバルフィードを探索してください。