Detecção de Ransomware LostTrust: Avanço do SFile e Mindware, Sucessor da Gangue MetaEncryptor

[post-views]
Outubro 10, 2023 · 4 min de leitura
Detecção de Ransomware LostTrust: Avanço do SFile e Mindware, Sucessor da Gangue MetaEncryptor

O novo ransomware LostTrust surgiu no cenário de ameaças cibernéticas no início da primavera de 2023. No entanto, a campanha adversária ganhou as manchetes apenas em setembro, quando operadores de ransomware foram observados aproveitando sites de vazamento de dados e cargas úteis bastante semelhantes às ferramentas ofensivas usadas pelo grupo MetaEncryptor. Defensores estão levantando preocupações em resposta às crescentes ameaças, já que mais de 50 vítimas do LostTrust em todo o mundo foram comprometidas por intrusões de ransomware.

Detectar Ataques de Ransomware LostTrust

O surgimento de ataques de ransomware multi-extorsão que colocam mais pressão sobre as vítimas aumenta a necessidade de fortalecer as capacidades defensivas para evitar tais ameaças. Campanhas de ransomware LostTrust que têm causado agitação desde o início do outono de 2023 expõem múltiplas organizações globais a riscos crescentes de intrusões. A Plataforma SOC Prime oferece uma nova regra Sigma para a detecção de ataques de ransomware LostTrust disponível através de um link abaixo:

Possível Atividade de Execução de Carga Útil da Campanha de Ransomware LostTrust pela Detecção de Parâmetros de Linha de Comando (via process_creation)

Este algoritmo de detecção é escrito pelo nosso atento desenvolvedor do Threat Bounty, Aung Kyaw Min Naing. Junte-se às fileiras da iniciativa colaborativa da SOC Prime para dar sua contribuição à defesa cibernética coletiva escrevendo, compartilhando e ganhando uma chance de monetizar seu próprio código de detecção. 

A regra Sigma mencionada acima está mapeada para o framework MITRE ATT&CK endereçando a tática de Impacto e a técnica de Dados Criptografados para Impacto (T1486). Verifique a inteligência personalizada vinculada ao conteúdo e converta instantaneamente o código para vários formatos de linguagem de consulta das soluções correspondentes de SIEM, EDR, XDR e Data Lake.

Ao detectar ameaças emergentes, o tempo é de valor primordial. Clique em Explorar Detecções para explorar mais de 800 regras Sigma para detecção de ransomware e mergulhar no CTI, verificar TTPs dos adversários, encontrar mitigações e acessar outros metadados acionáveis para nunca perder nenhuma informação.  

Explorar Detecções

Análise do Ransomware LostTrust

Famílias modernas de ransomware tendem a aplicar abordagens de dupla e múltipla extorsão para aprimorar suas capacidades ofensivas. No início do outono de 2023, uma nova ameaça de múltipla extorsão conhecida como ransomware LostTrust ganhou destaque, com os primeiros ataques realizados em março. De acordo com a pesquisa da SentinelOne, o LostTrust evoluiu das famílias de ransomware SFile e Mindware. Todos eles exibem capacidades semelhantes ao ransomware MetaEncryptor, o que permite assumir que o LostTrust pode ser uma nova marca do último. Além disso, MetaEncryptor e LostTrust compartilham semelhanças em sites de vazamento de dados e criptografadores que aplicam.

As cargas úteis do LostTrust buscam ativamente e terminam uma ampla gama de serviços e operações críticas, principalmente vinculados ao Microsoft Exchange, MSSQL, SharePoint, Tomcat, etc. Além disso, o malware tenta eliminar VSS e limpar todos os Logs de Eventos do Windows. 

As capacidades compartilhadas entre Mindware, SFile e LostTrust servem como evidência de que o último é uma evolução dessa linhagem. Por exemplo, as cepas maliciosas do LostTrust são baseadas no SFile. Da mesma forma que seus antecessores, o LostTrust lida com exclusões via padrão/cadeia de caracteres, enquanto suas inclusões e exclusões de criptografia são semelhantes às do ransomware Mindware e SFile. Além disso, a estrutura de notas de resgate nas campanhas do LostTrust é semelhante às operações do Mindware.

Quanto aos sites de vazamento, algumas das vítimas listadas nos recursos do LostTrust já haviam sido apresentadas em sites de vazamento relacionados aos operadores de ransomware Royal, LockBit 3, e Medusa. 

Os riscos crescentes de ataques de ransomware emergentes exigem atenção imediata dos defensores para ajudar as organizações a prevenir danos à reputação. Conte com o Threat Detection Marketplace para explorar um feed global de mais de 300 mil algoritmos de detecção enriquecidos por contexto, correspondendo à sua indústria, perfil de ameaças, fontes específicas de log da organização e tecnologia em uso. 

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Ameaças Mais Recentes, Blog — 5 min de leitura
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Veronika Telychko
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware
Veronika Telychko