Zeoticus 2.0:厄介なランサムウェアが大幅アップグレード

[post-views]
2月 23, 2021 · 7 分で読めます
Zeoticus 2.0:厄介なランサムウェアが大幅アップグレード

2020年12月以降、新しいバージョンのZeoticusランサムウェアが積極的にユーザーをターゲットにしています。Zeoticus 2.0はパフォーマンスの向上とオフライン機能の強化により、世界中の企業にとってより大きな脅威となっています。

Zeoticusランサムウェアとは?

Zeoticusは、2019年12月にサイバー脅威の場に登場した比較的新しいマルウェアサンプルです。他の多くの悪意ある兄弟と同様に、Zeoticusはダークウェブのフォーラムやマーケットでランサムウェア・アズ・ア・サービス (RaaS) モデルの下でプロモートされています。このマルウェアは現在Windows特有であり、Windows XP以前を含むすべてのバージョンのWindows OSをターゲットにすることができます。

Zeoticusには2つの主な配布方法があります。一つはマルウェアを仕組んだスパムメールです。そしてもう一つは無料ホスティングサービスや海賊版のP2Pダウンロードを提供するウェブサイトによるサードパーティソフトウェアの連携です。特に、ランサムウェアはロシア、ベラルーシ、キルギスタンのユーザーを対象から除外するためにジオチェックを行うことができます。このような選択性は、Zeoticusの運営者がロシア起源である可能性があると信じる根拠を与えます。

Zeoticus 2.0 の強化機能

2020年9月にリリースされた新しいZeoticus 2.0バージョンは、改良された暗号化アルゴリズムによりその前身をスピードと効率で大きく上回ります。また、マルウェアはオフライン機能の目立ったアップグレードを受け、コマンド・アンド・コントロール(C&C)サーバーに依存せずにペイロードを実行することができるようになりました。

Cyber Security Associatesからの報告 によると Zeoticus 2.0は非対称および対称暗号化の組み合わせを適用してパフォーマンスを向上させています。対称側はXChaCha20に依存し、非対称側はPoly1305、XSalsa20、およびCurve25519の混合が使用されています。このようなアプローチは被害者のデバイス上の貴重なファイルの大部分をロックするのに適しており、アーカイブ、音声ファイル、データベース、文書、画像、プレゼンテーション、スプレッドシート、ビデオが含まれます。最新のランサムウェアバージョンは、リモートドライブをロックし、暗号化ルーチンを防ぐことができるシステムプロセスを終了させる能力も得ています。 SentinelOneからの研究 によると。

暗号化プロセス中、Zeoticusはランサムノートを内蔵した新しいボリュームを動的に作成します。このノートは、他のランサムウェアギャングが通常はオニオンベースの支払いポータルを好むのとは異なり、攻撃者に電子メールで連絡するよう被害者に指示します。また、ランサムノートのコピーはシステムドライブのルートに残されます。

Zeoticus 2.0 検出

弊社の生産的な脅威賞金開発者 Osman Demir:

https://tdm.socprime.com/tdm/info/8DlhPQ0Osvzi/7j4JpncBTwmKwLA9R-kf/

ルールは以下のプラットフォームに翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

戦術: 影響

技術: データ暗号化による影響(T1486)

2020年を通じて、ランサムウェアはあらゆる規模の企業に挑戦する脅威の中で確実にリーダー的地位を占めました。したがって、悪意ある活動のタイムリーな検出が優先課題となっています。 SOC PrimeのThreat Detection Marketplaceからの専用検出規則をチェックして2020年の主要ランサムウェアファミリーに対する保護を行いましょう。 from SOC Prime on Threat Detection Marketplace to protect against major ransomware families of 2020.

Threat Detection Marketplaceに登録して、業界初のコンテンツ・アズ・ア・サービス (CaaS) プラットフォームでサイバー防御能力を強化しましょう。弊社のライブラリは、CVEおよびMITRE ATT&CK®フレームワークにマッピングされた95,000以上の検出および応答ルール、パーサー、検索クエリ、およびその他のコンテンツを集積しています。自分の検出コンテンツを作成することに興味がありますか? to super-charge your cyber defense capabilities with an industry-first content-as-a-service (CaaS) platform. Our library aggregates 95,000+ Detection and Response rules, parsers, search queries, and other content mapped to CVE and MITRE ATT&CK® frameworks. Interested in creating your own detection content? 弊社の脅威賞金プログラムに参加して、絶えず新たに出現するサイバー脅威に立ち向かうコミュニティの取り組みに貢献してください。 and contribute to the community efforts in combating constantly emerging cyber threats.

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Interlockランサムウェアの検出:FBIとCISAがClickFixを悪用した大規模攻撃に共同警告 5 分で読めます 最新の脅威 Interlockランサムウェアの検出:FBIとCISAがClickFixを悪用した大規模攻撃に共同警告 by Veronika Telychko Interlockランサムウェアの検出:FileFix経由で新たなPHPベースのRATを展開 7 分で読めます 最新の脅威 Interlockランサムウェアの検出:FileFix経由で新たなPHPベースのRATを展開 by Veronika Telychko BERTランサムウェアの検出:WindowsとLinuxを標的としたアジア・欧州・米国での攻撃 8 分で読めます 最新の脅威 BERTランサムウェアの検出:WindowsとLinuxを標的としたアジア・欧州・米国での攻撃 by Veronika Telychko
すべてのニュース