ヤシュマランサムウェア検出：最新のカオスビルダーバリアント

Chaos グラフィカルユーザーインターフェース (GUI) ビルダーは市場に出てから1年にも満たないが、敵対者が新たなランサムウェアを作成することを可能にしている。Yashma と呼ばれる新しいランサムウェアの亜種は、2022年5月から利用可能な6番目のバージョンである。Yashma は、このGUIランサムウェアビルダーの最も洗練されたバージョンであり、その柔軟性と各イテレーションで観察された継続的な進化で知られている。

Yashma ランサムウェアを検出

Yashma ランサムウェアに関連する不審な活動を検出するために、SOC Prime の Detection as Code プラットフォームの新規および既存のユーザーは、私たちのThreat Bounty開発者によって作成された専用のSigmaルールをダウンロードできます。 Onur Atali:

レジストリに実行キーを追加することでYashmaランサムウェアの持続性が疑われる (via registry_event)

The 検出を表示 ボタンをクリックすると、他のChaosランサムウェアの亜種を利用した攻撃に関連する検出コンテンツのリポジトリにアクセスできます。サイバーセキュリティの専門家は、業界をリードするプラットフォームにSOCコンテンツを公開し、貴重な貢献に対して報酬を得るためにThreat Bountyプログラムに参加することを歓迎します。

検出を表示 Threat Bountyに参加

Yashma ランサムウェア分析

The BlackBerry Research & Intelligence Team はChaosランサムウェア系統の詳細な分析を発表しました。Chaos は、昨年夏からダークマーケットに登場しているGUIベースのランサムウェアビルダーです。当初、このランサムウェアビルダーは Ryuk .NET Builderという名前でリリースされましたが、これは Ryukの.NET版として宣伝され、後にブランド名を変更して2番目のバージョンを新しい名前で再登場しました。 Chaos, 元のバージョンと最後の亜種との間には11ヶ月の間隔があります。現在の情報によると、 Chaosはロシアが行っている 軍事およびサイバー攻撃 を支援していることで知られています。

Chaos のさまざまな亜種が、攻撃の背後に複数のオペレーターと共に大量に使用されていることが確認されました。敵対者は主に、米国内の医療、農業、金融、建設業界、および緊急サービスプロバイダーを標的としています。

最初にリリースされたChaosの亜種は、ランサムウェアというよりはトロイの木馬として活動していました。各新バージョンのリリースごとに、Chaosのオペレーターはその製品を再装備して古典的なランサムウェアとして機能するようにし、被害者のファイルを暗号化し、ランサムウェアのメッセージを残し、ビットコインでの支払いを要求しています。 Yashma バージョンでは、感染したデバイス上のさまざまなサービスを停止する新機能を追加しています。これには、ウイルス対策ソフトウェアおよびバックアップソフトウェアが含まれます。

セキュリティ侵害は、今やすべてのユーザーと組織に影響を及ぼす最大の問題となっています。この環境下で、防御と検出のルーチンを一段階上げる機会を活用することは賢明です。プロアクティブおよびレトロスペクティブな脅威ハンティングを強化するために、 SOC Prime プラットフォームを訪問してください.