LostTrust 랜섬웨어 탐지: SFile 및 Mindware 발전, MetaEncryptor 갱의 후계자

[post-views]
10월 10, 2023 · 3 분 읽기
LostTrust 랜섬웨어 탐지: SFile 및 Mindware 발전, MetaEncryptor 갱의 후계자

Novel LostTrust 랜섬웨어가 2023년 초봄 사이버 위협 환경에 등장했습니다. 그러나 적의 캠페인은 9월에 랜섬웨어 운영자들이 MetaEncryptor 갱이 사용한 공격 도구와 상당히 유사한 데이터 유출 사이트와 페이로드를 활용하는 것이 관찰되었을 때 비로소 헤드라인을 장식하였습니다. 전 세계에서 50명 이상의 LostTrust 피해자들이 랜섬웨어 침입에 의해 타격을 입으면서, 증가하는 위협에 대한 대응으로 방어자들이 우려를 표명하고 있습니다.

LostTrust 랜섬웨어 공격 탐지

피해자에게 더 큰 압박을 가하는 다중 갈취 랜섬웨어 공격의 등장은 그러한 위협을 예방하기 위해 방어 역량을 강화할 필요성을 부추깁니다. 2023년 가을 초부터 관심을 모으고 있는 LostTrust 랜섬웨어 캠페인은 여러 글로벌 조직을 침입 증가의 위험에 노출시키고 있습니다. SOC Prime 플랫폼은 아래 링크에서 사용할 수 있는 LostTrust 랜섬웨어 공격 탐지를 위한 새로운 Sigma 규칙을 제공합니다:

명령줄 매개변수의 탐지를 통해 (프로세스 생성) LostTrust 랜섬웨어 캠페인의 페이로드 실행 활동 가능성

이 탐지 알고리즘은 우리의 날카로운 Threat Bounty 개발자에 의해 작성되었습니다, Aung Kyaw Min Naing. 에 가입하여 SOC Prime의 크라우드소싱 이니셔티브 에 참여하고 집단 사이버 방어에 기여하며, 자신의 탐지 코드를 작성하고 공유하여 수익을 창출할 기회를 얻으세요. 

위에서 언급한 Sigma 규칙은 MITRE ATT&CK 프레임워크 에 매핑되며, 이 규칙은 Impact 전략과 Data Encrypted for Impact 기술 (T1486)을 다룹니다. 해당 콘텐츠에 연결된 맞춤형 인텔리전스를 확인하고, 코드를 여러 쿼리 언어 형식으로 즉시 변환하여 대응하는 SIEM, EDR, XDR 및 Data Lake 솔루션에 적용하세요.

신규 위협을 탐지할 때 시간은 가장 중요한 가치입니다. 클릭하세요 탐지 살펴보기 를 클릭하여 랜섬웨어 탐지를 위한 800개 이상의 Sigma 규칙을 살펴보고 CTI를 탐구하세요, 적 세력의 TTPs를 확인하고 완화 조치를 찾으며 다른 실행 가능한 메타데이터에 도달하여 절대 누락하지 마세요.  

탐지 살펴보기

LostTrust 랜섬웨어 분석

현대 랜섬웨어 가족들은 그들의 공격 역량을 강화하기 위해 더블 및 다중 갈취 접근 방식을 적용하는 경향이 있습니다. 2023년 가을 초, LostTrust 랜섬웨어라는 새로운 다중 갈취 위협이 주목을 받았으며, 첫 공격은 3월에 수행되었습니다. SentinelOne의 연구에 따르면,LostTrust는 SFile과 Mindware 랜섬웨어 가족에서 진화했습니다. 그것들은 모두 MetaEncryptor 랜섬웨어와 유사한 기능을 가지고 있어 LostTrust가 후자의 리브랜딩일 수 있다는 가정을 가능합니다. 또한, MetaEncryptor와 LostTrust는 그들이 적용하는 데이터 유출 사이트와 암호화 기법에서 유사점을 공유합니다.

LostTrust 페이로드는 주로 Microsoft Exchange, MSSQL, SharePoint, Tomcat 등과 연결된 다양한 중요한 서비스와 운영을 활발하게 탐색하고 종료시키려고 합니다. 또한, 악성 코드는 VSS를 제거하고 모든 Windows 이벤트 로그를 지우려고 합니다. 

Mindware, SFile, LostTrust 간에 공유되는 기능은 후자가 이 계보의 진화라는 증거로 작용합니다. 예를 들어, LostTrust 악성 변종은 SFile에 기반을 두고 있습니다. 이전 세대와 유사하게, LostTrust는 패턴/문자열을 통해 배제를 다루며, 암호화 포함 및 배제는 Mindware 및 SFile 랜섬웨어와 유사합니다. 추가로, LostTrust 캠페인에서의 몸값 노트 구조는 Mindware 작전과 유사합니다.

유출 사이트와 관련하여, LostTrust의 자원에 나열된 피해자 중 일부는 예전에 Royal와 관련된 유출 사이트에 등장했습니다, LockBit 3, 그리고 Medusa 랜섬웨어 운영자와 관련이 있었습니다. 

증가하는 랜섬웨어 공격의 위험은 조직이 평판 손상을 방지하기 위해 방어자들의 신속한 주의를 요구합니다. 다음을 신뢰하세요 Threat Detection Marketplace 에서 귀하의 산업, 위협 프로필, 조직 특정 로그 소스 및 사용하는 기술 스택에 일치하는 30만+의 컨텍스트가 풍부한 탐지 알고리즘의 글로벌 피드를 탐색하세요. 

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

BQTLOCK 랜섬웨어 탐지: 새로운 RaaS 운영자들이 고급 탐지 회피 기법 활용 4 분 읽기 최신 위협 BQTLOCK 랜섬웨어 탐지: 새로운 RaaS 운영자들이 고급 탐지 회피 기법 활용 by Veronika Telychko Crypto24 랜섬웨어 탐지: 해커들이 합법적 도구와 맞춤형 멀웨어로 대기업을 은밀히 공격 4 분 읽기 최신 위협 Crypto24 랜섬웨어 탐지: 해커들이 합법적 도구와 맞춤형 멀웨어로 대기업을 은밀히 공격 by Veronika Telychko Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko
모든 뉴스