탐지 콘텐츠: 타이쿤 랜섬웨어

새로운 랜섬웨어 패밀리가 자주 나타남에도 불구하고, 대부분은 Windows 시스템에만 집중되어 있습니다. 훨씬 더 흥미로운 것은 Tycoon이라는 멀티 플랫폼 자바 랜섬웨어로, Windows와 Linux 시스템 모두에서 파일을 암호화할 수 있습니다. 이 패밀리는 최소한 2019년 12월부터 야생에서 관찰되었습니다. 저자들은 고유한 자바 이미지 파일 형식으로 컴파일하여 랜섬웨어가 탐지되지 않도록 했습니다.

이 랜섬웨어는 트로이 목마화된 자바 런타임 환경 버전에 포함되어 있습니다. 주 피해자는 주로 소프트웨어 및 교육 산업의 중소규모 조직으로 보입니다. 공격자는 매우 타겟화된 공격에서 맞춤형 미끼를 사용합니다. 적어도 한 건의 경우, 공격자는 인터넷에 노출된 RDP 점프 서버를 통해 조직의 네트워크에 침투했습니다.

이들은 이미지 파일 실행 옵션 주입(T1183) 기법을 사용해 손상된 시스템에서 지속성을 유지했습니다. 그런 다음 공격자는 Microsoft Windows 화면 키보드 기능과 함께 백도어를 실행하고, 안티 멀웨어 솔루션을 비활성화하며 Active Directory 서버의 비밀번호를 변경했습니다.

연구자 의견에 따르면 Tycoon 랜섬웨어는 Dharma / CrySIS 랜섬웨어를 유포하는 동일한 사이버 범죄자에 의해 사용될 수 있으며, 공격자는 피해자의 환경에 따라 어떤 도구를 사용할지 선택합니다. 

새로운 Sigma 규칙은 Ariel Millahuel 에 의해 만들어졌으며, Tycoon 랜섬웨어가 감염된 시스템에서 파일을 암호화하기 시작할 때 탐지하는 데 도움이 됩니다: https://tdm.socprime.com/tdm/info/uqCfDQqIdCq1/SD26mHIBQAH5UgbBgDPq/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 제공하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 권한 상승, 지속성, 방어 회피, 실행

기법: 명령줄 인터페이스 (T1059), 이미지 파일 실행 옵션 주입 (T1183)