탐지 콘텐츠: WastedLocker 랜섬웨어

새로운 WastedLocker 랜섬웨어는 2020년 5월 처음 발견되었습니다. 이 랜섬웨어는 이전에 Dridex 트로이 목마를 사용했던 저명한 Evil Corp 그룹에 의해 개발되었습니다. Dridex 트로이 목마를 배포하여 BitPaymer 랜섬웨어로 미국과 유럽의 정부 조직과 기업을 대상으로 한 공격입니다.

작년에 일부 공격자들이 그룹을 떠나 독자적으로 BitPaymer의 코드를 기반으로 하는 DoppelPaymer 랜섬웨어를 사용하여 공격을 시작했습니다. 짧은 휴식 후, Evil Corp의 해커들은 공격을 계속하며 새로운 랜섬웨어 패밀리를 사용하여 대규모 작전 을 준비하기 시작했습니다.

WastedLocker와 BitPaymer는 공통점이 거의 없습니다. 초기 침입은 현재 자체 CobaltStrike 로더를 직접 배포하는 데 사용되는 SocGholish 가짜 업데이트 프레임워크를 통해 이루어집니다. 그런 다음, 프레임워크는 감염된 시스템이 조직 네트워크의 일부인지 여부를 판단하고, 시스템에 대한 추가 정보를 수집하여 적에게 전달합니다. 네트워크에 진입한 후, 위협 인자는 Cobalt Strike, Mimikatz, Empire, PowerSploit와 같은 다양한 툴셋을 사용하여 목표 조직의 환경에서 측면 이동을 촉진합니다. 더 나아가, Evil Corp는 네이티브 운영 체제 기능(LoLBins)을 사용하여 탐지를 피하고 암호화가 시작될 때까지 레이더 아래에서 작동합니다.

Threat Bounty 프로그램 참여자들의 새로운 규칙은 Evil Corp의 악의적인 활동과 WastedLocker 랜섬웨어 배포를 탐지하는 데 도움을 줍니다:

WastedLocker 랜섬웨어 사냥 (자격 증명 덤프) by Ariel Millahuel: https://tdm.socprime.com/tdm/info/ohVpL4U6RLYd/Db4eLnMBPeJ4_8xcypLC/?p=1

WastedLocker 랜섬웨어 사냥 (초기 접근 및 침해) Ariel Millahuel 작성: https://tdm.socprime.com/tdm/info/cexuKikgrGxH/-ZccLnMBQAH5UgbB-SXj/?p=1

WastedLocker 랜섬웨어 사냥 (방어 회피) Ariel Millahuel 작성:
https://tdm.socprime.com/tdm/info/kNavqYGJrev8/yppbM3MBQAH5UgbBHWAp/?p=1

WastedLocker 랜섬웨어 사냥 (탐색) Ariel Millahuel 작성:
https://tdm.socprime.com/tdm/info/NuV0JT0Mu2xi/AZdZM3MBSh4W_EKG6zKf/?p=1

Wastedlocker, evil corp 그룹에 의해 개발된 새로운 랜섬웨어 변종 by Osman Demir: https://tdm.socprime.com/tdm/info/PYGGqXXI8HiF/GIRtFHMBSh4W_EKG3ChF/?p=1

규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, CrowdStrike, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 접근, 실행, 영향

기법: PowerShell (T1086), 서비스 실행 (T1035), 드라이브-바이 컴프로마이즈 (T1089), 데이터 암호화로 인한 영향 (T1486)