YourCyanide 탐지: 새로운 자가 전파형 랜섬웨어 변종

신종 랜섬웨어 변종은 GonnaCope 랜섬웨어의 발자취를 따르며, 이는 2022년 4월 처음 등장한 CMD 기반 랜섬웨어 계열의 첫 번째 변종입니다. 2022년 5월 VirusTotal에 업로드된 다른 유사한 샘플은 Kekpop과 Kekware로 알려져 있습니다.

유망한 신예는 YourCyanide라는 이름이 붙었으며, 다음 큰 위협이 될 만한 모든 요소를 갖춘 것으로 추정됩니다. 공격에서 수집된 데이터에 따르면 이 랜섬웨어 변종은 아직 파일을 암호화하지 않으며, 문서화된 피해는 파일 이름을 변경하여 영향을 받은 사용자들에게 큰 불편을 초래하는 것이 전부입니다. 탐지하기 어려운 변종은 Microsoft 링크, PasteBin, Discord를 악용하여 악성 페이로드를 떨어뜨리고 전파합니다.

연구원들은 최신 CMD 기반 랜섬웨어 변종이 사용자 정보를 탈취하고 다중 난독화 계층을 활용하여 탐지를 회피할 수 있음을 발견했습니다.

YourCyanide 탐지

The Sigma 규칙 아래, 우리의 통찰력 있는 Threat Bounty 개발자들이 출시한 Aytek Aytemur and Osman Demir, YourCyanide 랜섬웨어와 관련된 최신 공격을 손쉽게 탐지할 수 있습니다:

명령어(cmdline)를 통한 관련 명령어 탐지로 의심스러운 YourCyanide 실행

레지스트리 이벤트를 통한 런 키(run key) 추가로 인한 Cyanide 랜섬웨어 지속성 의심

규칙은 최신 MITRE ATT&CK® 프레임워크 v.10. 데이터 암호화를 통한 영향(T1486) 및 명령어 및 스크립트 인터프리터(T1059) 기술로 영향과 실행 전술을 다룹니다.

185,000개 이상의 탐지 알고리즘을 통해 SIEM, EDR, XDR 솔루션과 통합하여 위협 헌팅 속도를 높이려면 SOC Prime 플랫폼에 가입하세요. 사이버 랜섬웨어 위협을 탐지하기 위한 Sigma 규칙의 방대한 라이브러리에 접근하려면 아래의 탐지 및 헌팅 버튼을 클릭하세요.

네트워크를 통과하는 위협에 대한 가시성을 향상시키려면 SOC Prime의 최신 솔루션인 Cyber Threat Search Engine을 통해 끊임없이 변화하는 위협 환경을 탐색하세요. 검색 엔진은 무료로 제공되며 등록이 필요 없습니다. 아래의 위협 맥락 탐색 버튼을 눌러 시작해 보세요.

탐지 및 헌팅 위협 맥락 탐색

YourCyanide 분석

사용 가능한 데이터에 따르면, 이 변종은 현재 보안 연구원들의 주목을 받고 있는 CMD 기반 랜섬웨어 계열 중 첫 번째로 등장한 GonnaCope 랜섬웨어에서 비롯되었습니다. YourCyanide 랜섬웨어는 Trend Micro 의 Threat Hunting 팀에 의해 철저히 분석되었습니다. 손상된 네트워크 내의 사용자들은 그들의 시스템이 침해되었다는 내용의 노트를 받았으며, “Kekware와 Kekpop(이전 두 변종)은 시작일 뿐이다”라는 경고가 뒤따랐습니다.

연구 데이터는 이 랜섬웨어 계열의 변종들이 여전히 개발 중임을 보여주며, 분석가들은 이러한 변종들이 진화하고 완전한 가능성을 지녔을 때 무엇을 기대해야 할지 불확실합니다.

YourCyanide 변종은 또한 Chrome, Discord, Microsoft Edge와 같은 여러 응용 프로그램을 손상시키는 자격 증명 탈취도 가능합니다.

사이버 보안 전문가들은 Threat Bounty Program 에 참여하여 업계 선두의 플랫폼에 SOC 콘텐츠를 게시하고 그들의 가치 있는 기여에 대해 보상을 받을 수 있습니다. 방어 및 탐지 루틴을 한 단계 더 발전시킬 수 있는 기회를 잡으세요!