Zeppelin ランサムウェア検知：CISAとFBIがRaaS脅威に対する強化保護のための共同勧告を発表

SOC Primeの 「Detection as Code」革新レポート によると、2021-2022年の脅威の状況をカバーしたこのレポートでは、Ransomware-as-a-Service (RaaS) モデルがサイバー脅威の分野で独占を築いており、大多数のランサムウェアアフィリエイトが多様なRaaSキャンペーンに関与しています。

2022年8月11日、CISAはFBIと協力して 共同サイバーセキュリティアドバイザリーを発行しました Zeppelinランサムウェアに関するもので、このランサムウェアのバリアントに関連するIOCとTTPをカバーしており、組織がエスカレートする脅威に効果的に対抗するためのものです。Zeppelinの行為者はRaaSビジネスモデルに基づいて運営されており、防衛、教育、IT、医療などのさまざまな産業の組織をターゲットにしています。

Zeppelinランサムウェアを検知する

Zeppelinランサムウェアによる侵害のリスクを軽減するために、サイバーセキュリティの実践者たちは、組織のインフラストラクチャ内での感染を迅速かつ効率的に特定するための方法を探しています。SOC Primeの「Detection as Code」プラットフォームは最近、コンプライアンスに基づいた Sigmaルール を発表しました。これらは我々の鋭いThreat Bounty開発者である Nattatorn Chuensangarun によって作成され、組織がZeppelinランサムウェア攻撃に積極的に防御できるようにします。こちらのリンクから、SOC PrimeのCyber Threats Search Engineを活用した関連するコンテキストに富んだ検出に即座にアクセスできます。これは無料で、登録も不要です：

Check Point NGFWによるZeppelinランサムウェアのシグネチャ検知

FortinetによるZeppelinランサムウェアのシグネチャ検知

上記のSigmaルールは、17のSIEM、EDR、およびXDR技術に使用でき、 MITRE ATT&CK® フレームワーク に沿ってExecution戦術とその主要技術として適用されるUser Execution (T1204) を扱っています。

SOC Primeのクラウドソーシングイニシアチブである Threat Bountyプログラムに参加することで、自分の検出コンテンツを作成して共同サイバー防御に貢献し、あなたの貢献に対する定期的な報酬を受け取り、業界仲間からの認識を得ることができます。

登録済みのSOC Primeユーザーは、Zeppelinランサムウェア検出用のSigmaルールの全コレクションを活用することもできます。関連する検出アルゴリズムにアクセスするには、 「Detect & Hunt」 ボタンをクリックしてください。これによって、SOC Primeのプラットフォーム内のThreat Detection Marketplaceリポジトリで利用可能な検出アルゴリズムにアクセスできます。別の方法として、SOC Primeをブラウズし、Sigmaルールに関連する包括的なサイバー脅威コンテキストを詳しく調べることができます。「 「Explore Threat Context」 ボタンを下にクリックすれば、登録されていないユーザーでも、MITRE ATT&CKやCTIリファレンス、関連する実行可能ファイル、およびより実行可能なインサイトを含む、アクセラレートされた脅威調査に役立つ価値あるコンテキストメタデータを最大限に活用できます。

「Detect & Hunt」 「Explore Threat Context」

Zeppelinランサムウェア解析

The 最新のサイバーセキュリティ警告 で、CISAとFBIとの協力で発行され、Zeppelinランサムウェアに関する洞察を提供し、脅威を効果的に軽減する方法に関するガイドラインを提供しています。Zeppelinランサムウェアは、Vegaマルウェアファミリーに属し、グループの名前はVegaまたはVegaLockerとして追跡されるランサムウェア操作に起因しています。脅威のアクターは、2019年以来、ビジネスや重要なインフラストラクチャの組織を対象にZeppelinランサムウェアを利用しています。Zeppelinランサムウェアのメンテナンスは、100万ドルを超えるビットコインの身代金を要求したことも観察されています。

による Picus Labsの研究によると、Zeppelinのアクターはロシア語圏のオーディエンスを対象にしたマルウェア広告を活用することにより、サイバー脅威の分野で注目を集めました。脅威のアクターが配信したすべてのランサムウェアバリアントは、コードにおいて類似点がありましたが、区別された機能を示していました。Zeppelinは、高度に構成可能で、DDLまたはEXEファイル、パワーシェルドロッパーとして複数の方法でデプロイできる能力を持っています。Zeppelinのアクターは、ダブル恐喝戦術を適用して、データ流出と被害者に身代金を支払わせるために積極的に強制しながら、最新のランサムウェアバリアントを妥協されたシステムに拡散します。

Zeppelinランサムウェアを侵入および展開するための最も一般的な方法の中には、リモートデスクトッププロトコル、脆弱性の悪用、およびフィッシング攻撃ベクトルがあります。

Zeppelin関連の脅威を軽減するために、サイバーセキュリティ研究者は、悪用された脆弱性の優先順位づけ、すべての組織のサービスにわたる多要素認証を有効化して追加のセキュリティ層を提供すること、最新のソフトウェアバージョンへのアップグレード、およびセキュリティ衛生を維持するのに役立つその他のベストプラクティスを適用することを推奨しています。

進歩的な組織は、サイバー防御を強化するためにプロアクティブなサイバーセキュリティ戦略を採用しようとしています。 SOC PrimeのDetection as Codeプラットフォームを使用すると、サイバーセキュリティの実践者は、組織の脅威検出と対応能力を強化し、脅威ハンティングの速度を加速するための合理化された効率的な方法を見つけることができます。当社の Threat Bountyプログラムに加わることで、意欲的な検出コンテンツ作成者は、自分の検出アルゴリズムをグローバルなサイバーセキュリティコミュニティと共有し、定期的に自らの貢献を収益化しながら、集合的な業界の専門知識を豊かにする機会を得ることができます。