스내치 랜섬웨어 공격 탐지

랜섬웨어는 기업 네트워크에 가장 심각한 위협 중 하나로 계속되고 있으며, Snatch 랜섬웨어는 비교적 최근에 등장한 가장 성가신 ‘손님’ 중 하나입니다. 첫 감염은 약 2년 전에 기록되었으나, 조직에 대한 심각한 공격은 2019년 4월부터 시작되었고 그 이후로 대기업의 손상 소식과 7자리 몸값 지급에 의해 공격자의 욕구와 기술이 증가하고 있습니다.

Snatch 랜섬웨어를 다루는 공격자들은 러시아어를 사용하며 공격 속도에 중점을 둔 러시아어 사용자 협력을 위한 무료 교육을 실시하고 있으며, 조직이 손상된 순간부터 파일이 암호화되기까지 불과 몇 시간밖에 걸리지 않습니다. 그러나 일부 협력자들은 더 전문적이며 시스템을 암호화하기 전에 데이터를 훔쳐 공격 회사에 대한 추가 압박을 가합니다.

사이버 범죄자들은 보통 RDP가 노출된 호스트에 대한 무차별 공격을 수행하며, 성공적인 손상 후에는 백업 서버와 도메인 컨트롤러를 공격하고 접근 가능한 모든 시스템에 랜섬웨어를 설치합니다. 그 후 감염된 시스템은 안전 모드에서 재부팅되고 랜섬웨어는 볼륨 섀도 복사본을 삭제하고 파일을 암호화합니다.

커뮤니티의 새로운 위협 사냥 규칙 작성: Osman Demir 데이터 암호화 프로세스가 시작되기 전에 Snatch 랜섬웨어의 징후를 발견할 수 있습니다:

https://tdm.socprime.com/tdm/info/EpVnv99TsQAz/lUZfTnQBSh4W_EKGVf-Q/?p=1

규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전략: 영향

기술: 데이터를 영향을 미치도록 암호화 (T1486)

SOC Prime TDM을 시도해 보려면? 무료로 가입하세요. 또는 Threat Bounty Program에 가입하여 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.