제플린 랜섬웨어 탐지: CISA와 FBI, RaaS 위협에 대한 향상된 보호 조치를 위한 공동 자문 발행
목차:
SOC Prime의 Detection as Code 혁신 보고서에 따르면 2021-2022 위협 상황을 다루는 Ransomware-as-a-Service (RaaS) 모델이 사이버 위협 영역에서 독점을 형성하고 있으며, 대부분의 랜섬웨어 연합이 다양한 RaaS 캠페인에 참여하고 있습니다.
2022년 8월 11일, CISA는 FBI와 협력하여 공동 사이버 보안 자문 을(를) 발행하여 이 랜섬웨어 변종과 관련된 IOC와 TTP를 다루면서, 조직이 악화되는 위협에 효과적으로 방어할 수 있도록 지원합니다. 제플린 행위자는 RaaS 비즈니스 모델을 기반으로 운영하며 방위, 교육, IT 및 의료를 포함한 다양한 산업의 조직을 목표로 합니다.
제플린 랜섬웨어 탐지
주목할만한 것은 제플린 랜섬웨어의 위험을 완화하기 위해 사이버 보안 실무자들이 자사의 인프라에서 감염을 신속하게 식별하고 사이버 방어 역량을 강화하여 탐지 속도를 높이는 방법을 찾고 있다는 점입니다. SOC Prime의 Detection as Code 플랫폼은 최근 컴플라이언스 기반의 Sigma 규칙 을(를) 발표했습니다. 이는 뛰어난 위협 현상금 개발자인 Nattatorn Chuensangarun에 의해 제작되어 제플린 랜섬웨어 공격에 대비해 조직이 선제적으로 방어할 수 있도록 합니다. 여기에 SOC Prime의 사이버 위협 검색 엔진을 활용하여 관련 문맥이 풍부한 탐지를 즉시 액세스할 수 있는 링크가 있으며, 무료이며 등록이 필요하지 않습니다. enabling organizations to proactively defend against Zeppelin ransomware attacks. Here’s a link to gain instant access to the related context-enriched detections leveraging SOC Prime’s Cyber Threats Search Engine, available for free and without registration:
제플린 랜섬웨어에 대한 Check Point NGFW 서명 탐지
참조된 Sigma 규칙은 17개의 SIEM, EDR 및 XDR 기술에서 사용할 수 있으며 MITRE ATT&ck® 프레임워크 와 일치하여 사용자가 수행하는 실행 전술(T1204)을 주요 기법으로 적용하고 있습니다.
SOC Prime의 집단 지성 이니셔티브인 Threat Bounty Program에 참여하여 고유한 탐지 콘텐츠를 작성하고 기여에 대해 반복적인 보상을 받으며 업계 동료들 사이에서 인정받을 수 있습니다.
등록된 SOC Prime 사용자는 제플린 랜섬웨어 탐지를 위한 Sigma 규칙 전체 컬렉션을 사용할 수 있습니다. Threat Detection Marketplace 저장소의 SOC Prime 플랫폼에서 관련 탐지 알고리즘에 접근하려면 탐지 및 사냥 버튼을 클릭하세요. 또는 SOC Prime을 탐색하여 제플린 랜섬웨어와 관련된 포괄적인 사이버 위협 문맥과 관련 Sigma 규칙 목록을 검토하세요. 아래의 Threat Context 탐색 버튼을 클릭하면 비등록 사용자도 MITRE ATT&ck 및 CTI 참조, 관련 실행 파일 등 가속화된 위협 조사를 위한 귀중한 문맥 메타데이터를 최대한 활용할 수 있습니다.
제플린 랜섬웨어 분석
The CISA 및 FBI와 협력하여 발행된 최신 사이버 보안 경고는 제플린 랜섬웨어에 대한 통찰력을 제공하고 위협을 효과적으로 완화할 수 있는 지침을 제공합니다. 제플린 랜섬웨어는 Vega 멀웨어 계열에 속하며, Vega 또는 VegaLocker로 추적되는 랜섬웨어 작전으로 알려져 있습니다. 위협 행위자는 2019년부터 제플린 랜섬웨어를 활용하여 다양한 산업 부문의 비즈니스 및 중요 인프라 조직을 표적으로 삼아 왔습니다. 제플린 랜섬웨어 유지 관리자는 비트코인으로 백만 달러가 넘는 몸값을 요구하는 것으로도 관찰되었습니다. issued in collaboration with CISA and FBI gains insights into Zeppelin ransomware and provides guidelines on how to effectively mitigate the threat. Zeppelin ransomware belongs to the Vega malware family, with the group’s name attributed to ransomware operations tracked as Vega or VegaLocker. Threat actors have been leveraging Zeppelin ransomware since 2019, targeting business and critical infrastructure organizations in diverse industry sectors. Zeppelin ransomware maintainers have also been observed requesting ransom payouts in Bitcoin amounting to over one million dollars.
Picus Labs의 연구에 따르면,Zeppelin 행위자는 러시아어를 사용하는 대중을 목표로 하는 멀웨어 광고를 활용하여 사이버 위협 영역에서 주목을 받았습니다. 위협 행위자가 제공한 모든 랜섬웨어 변종은 코드 측면에서 유사했지만, 뛰어난 역량을 보여주었습니다. 제플린은 DDL 또는 EXE 파일로, 그리고 PowerShell 드로퍼를 통해 여러 형식으로 배포될 수 있는 높은 구성을 갖추고 있는 것으로 보입니다. Zeppelin 행위자는 데이터 탈취를 사용하여 최신 랜섬웨어 변종을 손상된 시스템에 배포하고 피해자에게 몸값을 지불하도록 강제하는 이중 갈취 전술을 적용합니다.
Zeppelin 랜섬웨어를 배포하기 위한 침투 및 가장 인기 있는 방법에는 원격 데스크톱 프로토콜, 취약점 익스플로잇, 피싱 공격 벡터가 있습니다.
Zeppelin 관련 위협을 완화하기 위해 사이버 보안 연구원들은 악용된 취약점의 우선순위를 정하고, 모든 조직의 서비스에 대해 다단계 인증을 추가 보안 계층으로 활성화하며, 최신 소프트웨어 버전으로 업그레이드하고 보안 위생을 유지하는 데 도움이 되는 다른 모범 사례를 적용할 것을 권장합니다.
진보적인 조직들은 보안 방어를 강화하기 위해 사전 예방적 사이버 보안 전략을 채택하려고 노력하고 있습니다. SOC Prime의 Detection as Code 플랫폼을 사용하면 사이버 보안 실무자가 조직의 위협 탐지 및 대응 능력을 강화하고 위협 헌팅 속도를 가속화할 수 있는 효율적이고 간소화된 방법을 찾을 수 있습니다. 우리와 함께하면 진입하는 탐지 콘텐츠 저자들은 글로벌 사이버 보안 커뮤니티와 탐지 알고리즘을 공유하여 집단 산업 전문 지식을 풍부하게 할 수 있는 기회를 얻는 동시에 정기적으로 기여를 통해 수익을 얻게 됩니다. Threat Bounty Program에 참여, aspiring detection content authors gain an opportunity to enrich the collective industry expertise by sharing their detection algorithms with the global cybersecurity community while monetizing their input on a regular basis.
