量子ランサムウェア攻撃の検出: 稲妻の速さで展開されたマルウェア

2021年夏の終わり以来、Quantumランサムウェアは、高速で動的にエスカレートする侵入に関与し、サイバー防御者にとって脅威をタイムリーに検出し緩和するための短い時間しか残さなかったことで注目されています。によると DFIRのサイバーセキュリティ研究、観測された最新のQuantumランサムウェアの攻撃は、ターゲット環境を妥協してからランサムウェアを展開するまでに4時間未満で行われた最も高速なケースの1つにランクされています。

Quantumランサムウェアを検出する：Sigmaルール

組織環境に対する悪名高いQuantum攻撃を積極的に明らかにするために、我々の経験豊富なThreat Bounty開発者の提供する精選されたSigmaルールのセットを活用することができます。 エミル・エルドアン and ナッタターン・チュエンサンガラン.

QuantumランサムウェアはCobalt Strike Beaconを使用します (via pipe_event)

疑わしいQuantumランサムウェア行動検出 (via process_creation)

作成されたスケジュールされたタスクによる可能性のあるQuantumランサムウェアの持続性 (via process_creation)

IcedIDペイロードを持つ可能性のあるQuantumランサムウェア実行 (via file_event)

ドメインを越えたホストへのランサムウェア転送による可能性のあるQuantumランサムウェア (via process_creation)

PsExecとWMIを使用してランサムウェアを実行する可能性のあるQuantumランサムウェア (via process_creation)

最新のQuantumルーチンが感染チェーンを引き起こすためにIcedIDサンプルを活用することを前提としているという見解から、IcedID関連の攻撃を特定することを目的とした検出コンテンツを確認することをお勧めします。関連するSigmaルールの完全なリストは、 以下のリンク. 

Sigmaルールの更新を追跡し、Quantumランサムウェアの包括的な検出バッチにアクセスするには、以下の 検出を見る ボタンを押してください。厄介なサイバー攻撃に耐え、Sigmaベースのコンテンツでコンテンツライブラリを充実させるために、サイバーセキュリティコミュニティを助けたいですか？私たちのThreat Bountyプログラムに参加し、あなたの貢献に対して継続的な報酬を得ましょう。

検出を見る Threat Bountyに参加する

Quantumランサムウェア攻撃解析

最新の攻撃では、ランサムに至るまでの記録的な時間を示し、全体で4時間未満をカバーしています。ランサムウェア攻撃は、ターゲットのインスタンスに IceIDペイロード を展開することから始まりました。特に、ランサムウェアオペレーターはISOファイル内にIcedIDを隠し、メールセキュリティ保護を通過して感染が成功するようにしました。最初の攻撃段階から数時間で、敵対者はキーボード操作によってCobalt Strikeマルウェアを投入し 、リモートアクセスと情報の盗み取りに使用されます。煩雑な横方向の伝播を確立するために、脅威アクターはLSASSを使用してWindowsドメインの認証情報をダンプし、ネットワーク内のアクセス可能なサーバーにRDP接続を作成しました。最終的に、ハッカーはWMIとPsExecユーティリティを使用して関心のある資産を暗号化するためにQuantumペイロードを押し出しました。 used for remote access and information stealing. To establish the hassle-free lateral propagation, threat actors dumped Windows Domain creds with the help of LSASS creating RDP connections to accessible servers within the network. Finally, hackers pushed the Quantum payload using WMI and PsExec utilities to encrypt the assets of interest.

Quantum Lockerとは？

Quantumランサムウェア（別名: Quantum Locker）は、2020年末に最初に明らかにされたMountLocker RaaSの後継です。それ以来、オペレーターはAstroLockerやXingLockerのようなタイトルで頻繁に悪意のある製品を切り替えました。2021年夏に、Quantum Lockerサンプルがウェブ上に出回り始めました。 報告書によると、復号のための身代金要求は大幅に異なり、150,000ドルから最大3〜4百万ドルの支払いまで範囲が変わります。さらに、敵対者は被害者にさらなる圧力をかけるためにダブルエクストーションアプローチを適用します。

積極的なサイバー防御能力を強化するために、進歩的な組織は協力的なサイバー防御アプローチを活用しています。 SOC PrimeのDetection as Codeプラットフォーム に参加して、増大する攻撃量に常に対応し、24時間未満で最新の脅威に対処しましょう。