YourCyanide検出：新しい自己増殖型ランサムウェアの変種

新しいランサムウェアの亜種は、CMDベースのランサムウェアの家族で最初に登場したGonnaCopeランサムウェアの足跡をたどっています。それが最初に現れたのは2022年4月です。2022年5月にVirusTotalにアップロードされた他の類似サンプルは、KekpopとKekwareとして知られています。

台頭しているプレイヤーはYourCyanideと名付けられ、次の大きな脅威になる可能性を秘めていると推測されます。攻撃から取得されたデータによれば、このランサムウェアの亜種は現時点でファイルを暗号化せず、それらをリネームすることによる大きな不便をもたらします。検出が難しいバリアントは、マイクロソフトリンク、PasteBinおよびDiscordを利用して悪意のペイロードをドロップし、拡散させます。

研究者たちは、CMDベースのランサムウェアファミリーの最新の亜種が、ユーザー情報を盗むことができると同時に、その多層の難読化を活用して検出を回避できることを発見しました。

YourCyanideを検出

The Sigmaルール 以下、鋭敏なThreat Bounty開発者によってリリースされた Aytek Aytemur and Osman Demirは、YourCyanideランサムウェアを含む最新の攻撃を容易に検出することを可能にします：

関連するコマンドの検出によるYourCyanideの疑わしい実行（cmdline経由）

レジストリへの実行キーの追加によるCyanideランサムウェアの持続性に対する疑念（registry_event経由）

ルールは最新の MITRE ATT&CK®フレームワーク v.10. データ暗号化による影響（T1486）とコマンドとスクリプトインタープリタ（T1059）技術による実行戦術に対応しています。

SOC Primeプラットフォームに登録して、185,000+のSIEM、EDR、XDRソリューションと統合する検出アルゴリズムで脅威ハンティングの速度を向上させましょう。サイバーランサムウェアの脅威を検出するためのSigmaルールの網羅的なライブラリにアクセスするには、 Detect & Hunt ボタンをクリックしてください。

ネットワークを通過する脅威の可視性を向上させるために、SOC Primeの新しいソリューションで変化し続ける脅威の状況をナビゲートしてください – サイバー脅威検索エンジン。この検索エンジンは無料で利用可能で、登録は不要です。試してみたい場合は Explore Threat Context ボタンをクリックしてください。

Detect & Hunt Explore Threat Context

YourCyanide分析

利用可能なデータによると、この亜種はGonnaCopeランサムウェアから派生しており、これはCMDベースのランサムウェアの系列で最初に登場し、現在はセキュリティ研究者の注意深い観察下にあります。YourCyanideランサムウェアは Trend Micro の脅威ハンティングチームにより徹底的に分析されました。侵害されたネットワーク内のユーザーは、システムが侵入されたというメモを受け取り、その後「KekwareとKekpop（二つの以前の亜種）は始まりに過ぎない」と警告されました。

研究データは、このランサムウェアファミリーの株がまだ開発段階にあることを示しており、アナリストたちはそれらが進化し本来の潜在能力に到達したときに何が起こるかわからないとしています。

YourCyanide亜種はまた、Chrome、Discord、Microsoft Edgeなど、いくつかのアプリケーションを危険にさらし、資格情報の窃取を可能にします。

サイバーセキュリティの熟練者はぜひとも Threat Bounty Program に参加して業界をリードするプラットフォームで SOC コンテンツを公開し、貴重な貢献に報酬を得ることを歓迎されています。この機会を活用して、防御と検出のルーチンを一段上に引き上げましょう！