Zola ランサムウェア検出：プロトンファミリー、新しいキルスイッチ付きランサムウェアバリアントで進化

多様なランサムウェアギャングによる攻撃が、CVE-2024-37085を悪用しているのを受けて、 CVE-2024-37085 防御側は、悪名高いProtonランサムウェアファミリーの新しい亜種「Zola」に遭遇します。Zolaは、このランサムウェアファミリーの多くの反復とアップグレードの結果、特権昇格やディスク上書き機能、ペルシャ語キーボードレイアウトが検出された場合にプロセスを終了するキルスイッチを組み込んだ高度な機能を示しています。

Zolaランサムウェア攻撃の検知

Statistaの レポートによれば、2023年には世界で3億1,759万回のランサムウェア攻撃が発生し、これらの攻撃の規模と巧妙さが継続して増加していることを示しています。ランサムウェアギャングは新しい悪質な亜種を毎日のようにサイバーアリーナに送り込みながら、悪質なツールセットを進化させ続けています。

サイバー防御側にとっての最新の脅威は、新しいProtonランサムウェアファミリーの亜種「Zola」です。Zola攻撃を初期段階で検知するには、組織のセキュリティ態勢を強化するために関連する検知ルールを集約し、進化した脅威検知とハンティングソリューションを提供するSOC Primeプラットフォームに頼ることができます。

下の 検知を探索 ボタンを押して、Zolaランサムウェア攻撃に関連する悪質な活動に対応した包括的な検知スタックに即座にアクセスしてください。すべての検知ルールは、30を超えるSIEM、EDR、データレイクソリューションに対応しており、 MITRE ATT&CKフレームワークにマッピングされています。さらに、検知アルゴリズムには、豊富なメタデータが付加されており、それには CTI 参考文献、攻撃のタイムライン、トリアージの推奨事項が含まれており、脅威の調査を効率化します。

検知を探索

最新のランサムウェア攻撃に対処し、それらの進化を遡及的に調査するための追加の検知コンテンツを探しているセキュリティ専門家は、SOC Primeの Threat Detection Marketplaceに頼ることができます。「ランサムウェア」タグを適用することで、サイバー防御側は関連するルールやクエリの包括的なコレクションを見つけることができます。

Zolaランサムウェア分析

新しいランサムウェア亜種の出現はここ10年間で一般的になっており、その中のいくつかは巧妙で持続的になり、反復を重ねて進化し、リブランディングを経ており、防御側が常に警戒を怠らないよう促しています。 Acronisの研究者たちは、 最近、Zolaランサムウェアを発見しました。これはProtonファミリーのリブランディング版で、2023年の春初頭に登場しました。

これまでの多数の前任者と同様に、Zolaは MimikatzやWindows Defenderの保護を乗り越えるための様々なユーティリティおよび初期の侵入用の他の攻撃的なツールを使用します。Zolaはまた、実行時に同時実行を防ぐためのミューテックスを作成するという以前のファミリー亜種との共通点を持っています。しかし、ペルシャ語キーボードレイアウトを検出する際にプロセスを終了するキルスイッチを備えた最新の反復版が、それ以前のものから際立っています。

キルスイッチが作動しない場合、Zolaは管理者権限を確認し、検証が失敗した場合、被害者に対して実行可能ファイルを特権で実行するように騙します。ファイルを暗号化する前に、Zolaはユニークな被害者IDとキーのデータを生成し、ゴミ箱を空にし、ブート構成を変更し、復旧を防ぐためにシャドウコピーを削除するなど、いくつかの準備アクションを実行します。また、セキュリティソフトウェアやファイルをロックして暗号化を妨害する恐れのあるその他のプログラムを含む、バイナリにリストされた多様なプロセスやサービスを対象とします。

準備作業が完了すると、Zolaはファイルを暗号化するためにいくつかのスレッドを開始し、各暗号化フォルダにランサムノートを配置します。さらに、デスクトップの壁紙を変更して、被害者にユニークIDをもつ敵対者にメールを送るように指示します。

他のProtonベースのランサムウェアの反復同様に、Zolaはディスク上書き機能を保持しています。実行のほぼ最後に、C:に一時ファイルを生成し、ディスクがいっぱいになるまで500 KBごとに未初期化データを書き込み、ファイルを削除します。この敵対手法は、ディスク上の余剰スペースを上書きすることで、アンチマルウェア解析とデータ回復を妨害することを目的としています。

Zolaのような、より高度な機能を導入しつつ以前のバージョンからの基本機能を維持する新しいランサムウェアの反復の増加は、進化する脅威に対抗するためのより洗練された方法が求められています。 AIを活用した検知エンジニアリング、自動化された脅威ハンティング、および検知スタック検証のためのSOC Primeの完全な製品スイートは、組織が既存のチームやテクノロジースタックを活用して、防衛を大規模に進化させることをサポートします。 for AI-powered detection engineering, automated threat hunting, and detection stack validation helps organizations evolve their defenses at scale, relying on the team and technology stack they already have.