탐지 콘텐츠: Ransom X 행동

또 다른 랜섬웨어 패밀리가 이번 봄에 등장했으며 기업과 정부 기관을 대상으로 한 표적 공격에 활발히 사용되고 있습니다. 5월 중순, 사이버 범죄자들은 텍사스 교통부의 네트워크를 공격했지만 미승인 접속이 발견되어 결과적으로 시스템의 일부만 암호화되었습니다. 이번 공격에는 새로운 랜섬웨어 – Ransom X가 사용되었으며, 이는 “친척들” 중에서도 두드러집니다. Ransom X는 사람이 직접 운영하는 랜섬웨어로, 실행 후 공격자에게 정보를 표시하는 콘솔을 엽니다. 원격 액세스 도구, MSP 및 보안 소프트웨어, 데이터베이스 및 메일 서버와 관련된 289개의 프로세스를 종료합니다. 또한 Windows 이벤트 로그를 지우고, NTFS 저널을 삭제하고, 시스템 복원을 비활성화하고, Windows 복구 환경을 비활성화하며, Windows 백업 카탈로그를 삭제하고, 로컬 드라이브의 여유 공간을 지웁니다. 추가로 이 랜섬웨어 변종은 매우 특정한 여러 폴더를 암호화하지 않으며, 연구자들은 이 폴더들에 사이버 범죄자들이 조직 내의 다른 시스템을 감염시키는 데 사용하는 도구를 저장하고 있다고 믿습니다. 범죄자들이 파일을 암호화하기 전에 데이터를 훔치거나 악성 활동을 숨기기 위해 암호화를 사용하는지는 현재로서는 알려지지 않았습니다.

Ransom X 랜섬웨어는 다음을 사용하여 탐지할 수 있습니다. Ariel Millahuel‘의 커뮤니티 위협 사냥 규칙은 Threat Detection Marketplace에서 이용 가능합니다: https://tdm.socprime.com/tdm/info/DQYxkD57TgJH/UXoGBXMBSh4W_EKGDMO0/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 지속성, 권한 상승

기술: 예약된 작업 (T1053)