탐지 콘텐츠: 스캐럽 랜섬웨어

[post-views]
5월 28, 2020 · 2 분 읽기
탐지 콘텐츠: 스캐럽 랜섬웨어

Scarab 랜섬웨어는 2017년 6월 처음 발견된 이후 새로운 버전으로 꾸준히 재등장했습니다. 이 랜섬웨어는 2015년에 출시된 오픈 소스 랜섬웨어 트로이 목마인 HiddenTear 변형 중 하나입니다. 

최근 발견된 랜섬웨어 버전은 개선된 RSA 암호화 방법을 사용하고 감염된 파일에 다양한 확장자를 추가합니다. Scarab 랜섬웨어는 대체 복구 방법을 방해하며, Windows 복원 지점과 영향을 받은 파일을 원래 상태로 복원할 수 있는 섀도 볼륨 사본을 삭제합니다. 고유한 키 없이는 복호화가 불가능합니다. 연구자들은 여러 캠페인에서 이를 관찰했습니다: 적들은 피싱 이메일을 통해 악성 소프트웨어를 전파합니다. 여러 경우에서, 그들은 빌렸습니다 Necurs 봇넷 이 목적을 위해. 

랜섬웨어의 다양한 변종이 위협 환경에 계속해서 등장하고 있습니다. 마지막 변종은 2주 전에 발견되어 암호화된 파일에 .cov19 확장자를 추가했습니다. 새로운 커뮤니티 위협 사냥 Sigma 규칙은 스카랩 랜섬웨어의 신선한 샘플을 암호화 과정 초기에 발견하는 데 도움을 줍니다: Ariel Millahuel helps to uncover fresh samples of Scarab ransomware at the beginning of the encryption process: https://tdm.socprime.com/tdm/info/r5jiwlzXUXDk/kSGkVXIBjwDfaYjKlqfD/?p=1

이 규칙은 다음 플랫폼에 대해 번역이 제공됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 영향

기술: 데이터 암호화로 인한 영향 (T1486)

 

이번 주 Ariel은 랜섬웨어 탐지를 위한 또 다른 커뮤니티 규칙을 발표했습니다. 이는 개발 중인 새로운 RaaS(서비스로서의 랜섬웨어) 제공인 AKO 랜섬웨어의 특징을 포착합니다. https://tdm.socprime.com/tdm/info/kK3QDFpKJRyh/bubkWnIBv8lhbg_iB-75/#bubkWnIBv8lhbg_iB-75

 

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.