LockBit 3.0 랜섬웨어 탐지: 작전 재구성
목차:
LockBit 그룹이 새로운 변종 랜섬웨어 LockBit 3.0을 소개하며 복귀합니다. 적대자는 그들의 최신 릴리스를 LockBit Black이라고 하며, 새로운 협박 전술을 추가하고 기존의 Bitcoin 및 Monero 암호화폐 결제 옵션에 더해 Zcash로 결제할 수 있는 옵션을 도입합니다.
이번에는 LockBit 해커들이 범죄 조직 중 최초로 버그 현상금 프로그램을 시작하며 이목을 끌고 있습니다. 모든 유형의 해커들에게 자신의 아이디어나 버그를 제출하면 $1000에서 $1백만 달러까지의 현상금을 약속합니다. LockBitSupp으로 알려진 제휴 관리자 식별에 첫 번째로 성공하는 사람에게 최고 금액이 제공됩니다.
LockBit 3.0 멀웨어 탐지
조직의 인프라를 더 잘 보호하기 위해, 우리의 예리한 Threat Bounty 개발자는 Kaan Yeniyol 최근 전용 Sigma 규칙 을 발표하여 빠른 LockBit 3.0 멀웨어 탐지를 가능하게 했습니다. 보안 팀은 SOC Prime의 Detection as Code Platform을 통해 이러한 규칙을 다운로드할 수 있습니다:
의심스러운 Lockbit Black (3.0) 랜섬웨어 실행 및 관련 명령어 탐지 (cmdline을 통해)
이 탐지는 다음과 같은 SIEM, EDR 및 XDR 플랫폼에 대한 번역이 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix, Snowflake, Open Distro.
이 규칙은 MITRE ATT&CK® 프레임워크 v.10과 매핑되어 있으며 명령 및 스크립팅 인터프리터(T1059)를 주요 기술로 사용하는 실행 전술을 다룹니다.
Sigma 및 YARA 규칙을 직접 작성하여 세상을 더 안전하게 만들고 싶으신가요? 저희 개발자 프로그램 에 가입하여 귀중한 기여에 대해 반복 보상을 받으세요!
LockBit 해커들이 관련된 모든 랜섬웨어 변종을 탐지하기 위한 Sigma 규칙의 전체 목록은 등록된 Detection as Code Platform 사용자에게 제공됩니다. 철저히 큐레이션되고 검증된 탐지를 탐색하려면 탐지 및 사냥 버튼을 누르십시오. 비등록 사용자는 LockBit 랜섬웨어 전용 규칙 키트 및 관련 컨텍스트 메타데이터에 액세스하려면 위협 컨텍스트 탐색 버튼을 클릭하세요.
LockBit 3.0 분석
LockBit 그룹은 2019년에 처음 나타났고, 2021년 6월에 다시 모습을 드러냈습니다 LockBit 2.0 랜섬웨어 변종. 운영은 위협 환경에서 가장 강력한 중 하나로 간주되며, 이런 악명 높은 그룹들인 Black Basta, Hive, 및 Conti.
의 피해자 수를 능가하고 있습니다. LockBit 팀은 끊임없이 그들의 범위를 확장하며, 혁신적인 솔루션을 도입하고 랜섬웨어 시장의 검증된 공식을 채택하고 있습니다. 보안 분석가들은 현재 LockBit 3.0 작전에 구현된 수정 중 얼마나 많은 부분이 아직 알려지지 않았는지 예측하기 어렵다고 경고합니다. 최근에 공개된 연구 데이터에 따르면, LockBit Black은 BlackMatter 랜섬웨어와 코드 유사성이 있어 지난 여름 많은 고급 공격에 사용되었습니다. 연구자들은 이것이 이전 BlackMatter 개발자가 최신 LockBit 변종 작성에 참여했을 가능성을 시사할 수 있다고 추측합니다.
Zcash 결제 및 버그 현상금 프로그램과 같은 최근 도입된 새로운 점들 중에 LockBit은 이제 피해자의 도난당한 데이터를 판매합니다.
이 및 기타 새로운 위협에 의한 침해 징후를 적시에 탐지하기 위해, 글로벌 사이버 보안 커뮤니티에 가입하여 협력적 사이버 방어의 혜택을 누리세요 SOC Prime의 Detection as Code 플랫폼. 경험 많은 전문가가 제공하는 정확하고 시기 적절한 탐지로 SOC 팀의 운영 및 보안 태세를 강화하세요.
