Zeoticus 2.0: 불쾌한 랜섬웨어 변종의 주요 업그레이드

2020년 12월부터 Zeoticus 랜섬웨어의 새로운 버전이 야생에서 사용자들을 적극적으로 타겟팅하고 있습니다. Zeoticus 2.0은 성능이 개선되고 오프라인 기능이 강화되어 전 세계 기업에 더 큰 위협을 가하고 있습니다.

Zeoticus 랜섬웨어란 무엇인가요?

Zeoticus는 2019년 12월 사이버 위협 업계에 등장한 비교적 새로운 악성코드 샘플입니다. 여러 다른 악의적인 소프트웨어와 유사하게 Zeoticus는 다양한 다크 웹 포럼과 시장에서 서비스형 랜섬웨어(RaaS) 모델로 홍보됩니다. 이 악성코드는 현재 윈도우에 특화되어, Windows XP를 포함한 모든 윈도우 운영체제 버전을 타겟팅할 수 있습니다.

Zeoticus의 두 가지 주요 배포 방법이 있습니다. 첫 번째는 악성코드가 포함된 스팸 이메일이고, 두 번째는 무료 호스팅 서비스를 제공하는 웹사이트와 불법 P2P 다운로드를 통해 배포되는 타사 소프트웨어 통합입니다. 특히 이 랜섬웨어는 러시아, 벨라루스, 키르기스스탄의 사용자를 타겟팅하지 않기 위해 지리적 검사를 수행할 수 있습니다. 이러한 선택성은 Zeoticus 운영자가 러시아 출신일 가능성을 시사합니다.

Zeoticus 2.0 향상된 기능

2020년 9월에 출시된 새로운 Zeoticus 2.0 버전은 개선된 암호화 알고리즘 덕분에 속도와 효율성 면에서 이전 버전을 크게 웃돕니다. 또한 이 악성코드는 오프라인 기능의 눈에 띄는 업그레이드를 받았으며, 이제 명령 및 제어(C&C) 서버에 의존하지 않고 페이로드를 실행할 수 있습니다.

Cyber Security Associates의 보고서 세부사항 Zeoticus 2.0은 성능을 향상시키기 위해 비대칭 및 대칭 암호화를 결합하여 적용합니다. 대칭 측면에서는 XChaCha20을 사용하고, 비대칭 측면에서는 Poly1305, XSalsa20, Curve25519의 조합을 사용합니다. 이러한 접근 방식은 아카이브, 오디오 파일, 데이터베이스, 문서, 이미지, 프레젠테이션, 스프레드시트 및 비디오를 포함한 피해자의 장치에서 대부분의 중요한 파일을 잠그는 데 효과적입니다. 최신 랜섬웨어 버전은 또한 원격 드라이브를 잠그고 암호화 루틴을 방해할 수 있는 시스템 프로세스를 종료하는 기능을 얻었습니다. 연구 에 따르면, SentinelOne에서는 말합니다.

암호화 과정 중에 Zeoticus는 새로운 볼륨을 컴파일하고 그 안에 몸값 메모를 포함합니다. 이 메모는 피해자에게 이메일을 통해 공격자에게 연락하도록 지시합니다. 이는 일반적으로 양파 기반 결제 포털이나 유사한 방식을 선호하는 다른 랜섬웨어 갱과 다릅니다. 또한 시스템 드라이브의 루트에 몸값 메모 복사본이 남습니다.

Zeoticus 2.0 탐지

다양한 Threat Bounty 개발자가 새롭게 출시한 Sigma 규칙을 통해 Zeoticus 2.0 랜섬웨어로부터의 적극적인 방어를 강화하세요. Osman Demir:

https://tdm.socprime.com/tdm/info/8DlhPQ0Osvzi/7j4JpncBTwmKwLA9R-kf/

규칙은 다음 플랫폼으로 변환됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

전술: 충격

기술: 충격을 위한 데이터 암호화 (T1486)

2020년 내내 랜섬웨어는 다양한 규모의 기업에 도전하는 위협 중 선두 자리를 확고히 차지했습니다. 따라서 악성 활동의 적시 탐지는 우선적인 과제가 됩니다. 주요 랜섬웨어 계열로부터 보호하기 위해 SOC Prime의 Threat Detection Marketplace에서 제공되는 전용 탐지 규칙을 확인하세요. Threat Detection Marketplace에 가입하여 업계 최초의 컨텐츠-서비스(CaaS) 플랫폼으로 사이버 방어 역량을 강화하세요. 우리의 라이브러리는 CVE 및 MITRE ATT&CK® 프레임워크에 매핑된 95,000개 이상의 탐지 및 대응 규칙, 파서, 검색 쿼리 및 기타 컨텐츠를 집계합니다. 자신의 탐지 컨텐츠를 만들고 싶으신가요?

Threat Bounty 프로그램에 참여하세요 to super-charge your cyber defense capabilities with an industry-first content-as-a-service (CaaS) platform. Our library aggregates 95,000+ Detection and Response rules, parsers, search queries, and other content mapped to CVE and MITRE ATT&CK® frameworks. Interested in creating your own detection content? Join our Threat Bounty Program 및 끊임없이 등장하는 사이버 위협을 방지하기 위한 커뮤니티 노력에 기여하세요.