FONIX 랜섬웨어 서비스로서의 탐지

또 다른 서비스형 랜섬웨어 플랫폼이 조직과 위험한 게임을 준비하고 있습니다. Sentinel Labs의 연구진은 발견했습니다 FONIX 플랫폼을 사용한 첫 공격을 약 세 달 전 관찰했습니다. 현재, 이 RaaS 플랫폼 은 여전히 활발히 개발 중이지만, 이미 첫 고객들이 그들의 기능을 시험하고 있습니다. 지금까지 FONIX는 사용하기 꽤 불편하고 암호화 과정이 다소 느리지만, 대부분의 보안 솔루션에서 탐지가 잘 되지 않습니다. 이 마지막 장점이 주요 단점을 상쇄할 수 있습니다. 또한, 악성 샘플을 얻고 공격 중에 사용하는 것이 완전히 무료입니다: FONIX 저자들은 나중에 몸값 지불 금액의 25%를 받습니다.

FONIX 랜섬웨어 느리지만 효율적

암호화 속도가 느린 이유는 공격 시 특정 유형의 파일이 아니라 중요한 시스템 파일을 제외한 모든 것을 암호화하기 때문입니다. 또 다른 공격을 지연시키는 요소는 암호화 과정에서 여러 암호화 프로토콜(Chacha, AES, Salsa20, AES)을 혼합 사용하는 것입니다. 아마도 이 접근법은 이 분야에서 작성자의 경험 부족을 보여주며, 피해자가 스스로 데이터를 복호화할 수 없다는 보장이 있기 때문에 속도를 희생하는 것입니다. 연구진은 적대자가 이진 암호기 개발에 관여했을 것이라고 추정합니다.

이메일 통신과 파일 유출

다른 대부분의 RaaS 플랫폼과 달리, FONIX는 악성 캠페인을 추적하고 관리할 대시보드가 없습니다. 대신 저자들은 피해자와의 익명 통신을 위해 이메일 서비스를 개발하고 있으며(아마도 제휴 활동을 추적하기 위해서도), 하지만 지금은 제휴자들이 통신을 위해 서드파티 이메일 서비스를 사용하도록 강요받아 위험에 처합니다. 파일 복호화를 테스트하고 몸값을 받은 후 복호기 얻으려면 사이버 범죄자들은 랜섬웨어 저자에게 의존해야 하며, 이는 또한 추가적인 위험을 수반합니다.
탐지된 공격 동안 제휴자들이 데이터를 훔치지 않아 피해자가 몸값을 지불하도록 강요받지 않았다는 점이 주목할 만합니다. 하지만 이는 공격자의 경험 부족을 나타내며, 숙련된 사이버범죄자들은 시스템을 암호화하기 전에 민감한 정보를 유출할 수 있습니다. 

지금까지 이 랜섬웨어를 사용한 고프로필 공격은 없었으며, 어쩌면 공격이 일어나지 않도록 하기 위해, Osman Demir 가 탐지 규칙을 개발했습니다: https://tdm.socprime.com/tdm/info/YYuWsuf9iDSA/CEPBDHUBR-lx4sDxrTcs/

이 규칙은 다음 플랫폼에 대한 번역이 제공됩니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Elastic Endpoint

MITRE ATT&CK: 

전술: 영향, 지속성

기법: 영향을 위한 데이터 암호화 (T1486), 레지스트리 실행 키 / 시작 폴더 (T1060)

SOC Prime 위협 탐지 마켓플레이스를 시험해볼 준비가 되셨습니까? 무료로 가입하세요. 또는 위협 보상 프로그램에 참여하세요 자신의 콘텐츠를 제작하고 위협 탐지 마켓플레이스 커뮤니티와 공유하세요.