야시마 랜섬웨어 탐지: 최신 카오스 빌더 변종

Chaos 그래픽 사용자 인터페이스(GUI) 빌더는 시장에 출시된 지 1년이 채 되지 않았으며, 이를 통해 공격자가 새로운 랜섬웨어 변종을 제작할 수 있습니다. Yashma라는 새로운 랜섬웨어 변종은 2022년 5월부터 사용 가능한 6번째 버전으로, 이 GUI 랜섬웨어 빌더의 가장 정교한 버전입니다. 이 빌더는 유연성과 각 반복에서 나타나는 지속적인 발전으로 유명합니다.

Yashma 랜섬웨어 탐지

Yashma 랜섬웨어와 관련된 의심스러운 활동을 탐지하기 위해, SOC Prime의 Detection as Code 플랫폼의 새로운 사용자와 기존 사용자는 Threat Bounty 개발자가 만든 전용 Sigma 규칙을 다운로드할 수 있습니다. Onur Atali:

레지스트리에 실행 키를 추가하여 발생하는 의심스러운 Yashma 랜섬웨어 지속성 (registry_event를 통해)

The 탐지 보기 버튼을 클릭하면 Chaos 랜섬웨어의 다른 변종을 활용하는 공격과 관련된 탐지 콘텐츠 저장소로 이동합니다. 사이버 보안에 능통한 사람들은 Threat Bounty 프로그램에 참여하여 업계 선두 플랫폼에 SOC 콘텐츠를 게시하고 그들의 귀중한 기여에 대한 보상을 받을 수 있습니다.

탐지 보기 Threat Bounty에 참여하기

Yashma 랜섬웨어 분석

The BlackBerry Research & Intelligence Team 은 Chaos 랜섬웨어 라인의 철저한 분석을 발표했습니다. Chaos는 지난해 여름부터 어둠의 시장에 있었던 랜섬웨어용 GUI 기반 빌더입니다. 원래 이 랜섬웨어 빌더는 Ryuk .NET Builder라는 이름으로 광고되었으며, .NET 버전의 Ryuk으로 출시되었으나, 이후 새로운 이름으로 2번째 버전이 부활했습니다. Chaos, 원래 버전과 마지막 변종 사이에는 11개월이 차이가 있습니다. 최신 정보에 따르면 현재의 정보에 따르면, Chaos는 러시아가 우크라이나에 대해 진행 중인 군사 및 사이버 공격 을 지원하는 것으로 알려져 있습니다.

Chaos의 다양한 변종이 대규모로 사용되고 있으며, 여러 운영자가 공격을 주도하고 있습니다. 주로 공격 대상은 미국에 위치한 의료, 농업, 금융, 건설 산업 및 응급 서비스 제공자입니다.

첫 번째로 출시된 Chaos 변종은 랜섬웨어보다는 트로이 목마로 더 많이 작동했습니다. 각 새로운 버전이 출시될 때마다 Chaos 운영자는 그들의 제품을 고전적인 랜섬웨어로 작동하도록 재장착했으며, 피해자의 파일을 암호화하고, 랜섬웨어 메모를 남기고, 비트코인으로 지불을 요구합니다. Yashma 버전은 손상된 장치에서 안티바이러스 및 백업 소프트웨어와 같은 다양한 서비스를 종료할 수 있는 새로운 기능을 갖췄습니다.

보안 침해는 모든 사용자 및 조직에 영향을 미치는 가장 큰 문제입니다. 이 환경에서 방어 및 탐지 루틴을 한 단계 업그레이드하는 것은 현명한 선택입니다. 능동적이고 회고적인 위협 사냥을 보강하려면 SOC Prime 플랫폼을 방문하십시오.