Zeoticus 2.0: Variante Insidiosa de Ransomware Recebe Grande Atualização

[post-views]
Fevereiro 23, 2021 · 4 min de leitura
Zeoticus 2.0: Variante Insidiosa de Ransomware Recebe Grande Atualização

A partir de dezembro de 2020, uma nova versão do ransomware Zeoticus tem visado ativamente os usuários no mundo. O Zeoticus 2.0 vem com melhor desempenho e capacidades offline aprimoradas, representando uma ameaça maior para as empresas em todo o mundo.

O que é o Ransomware Zeoticus?

Zeoticus é um exemplo de malware relativamente novo que apareceu no cenário de ameaças cibernéticas em dezembro de 2019. Semelhante a várias outras variantes maliciosas, Zeoticus é promovido sob o modelo de ransomware como serviço (RaaS) em vários fóruns e mercados da dark web. Atualmente, o malware é específico para Windows, sendo capaz de atacar todas as versões existentes do sistema operacional Windows, incluindo Windows XP e versões anteriores.

Zeoticus tem dois métodos principais de distribuição. O primeiro é através de emails de spam com malware. E o segundo é através de integrações de software de terceiros impulsionadas por sites que oferecem serviços de hospedagem gratuita e downloads pirateados peer-to-peer (P2P). Notavelmente, o ransomware pode realizar verificações geográficas para evitar atacar usuários da Rússia, Bielorrússia e Quirguistão. Essa seletividade dá margem para acreditar que os operadores do Zeoticus possam ser de origem russa.

Funções Aprimoradas do Zeoticus 2.0

A nova versão Zeoticus 2.0, lançada em setembro de 2020, supera significativamente seus predecessores em velocidade e eficiência devido a algoritmos de criptografia aprimorados. Além disso, o malware recebeu uma atualização notável de suas capacidades offline, agora sendo capaz de executar suas cargas úteis sem depender de um servidor de comando e controle (C&C).

O relatório da Cyber Security Associates detalha que o Zeoticus 2.0 aplica uma combinação de criptografia assimétrica e simétrica para melhorar seu desempenho. O lado simétrico se baseia no XChaCha20, enquanto o lado assimétrico usa a mistura de Poly1305, XSalsa20 e Curve25519. Essa abordagem serve bem para bloquear a maioria dos arquivos valiosos no dispositivo da vítima, incluindo arquivos de arquivamento, áudios, bancos de dados, documentos, imagens, apresentações, planilhas e vídeos. A versão mais recente do ransomware também recebeu a capacidade de bloquear unidades remotas e matar processos do sistema que pudessem prevenir a rotina de criptografia, pesquisa da SentinelOne diz.

Durante o processo de criptografia, Zeoticus compila um novo volume com uma nota de resgate dentro em tempo real. A nota instrui as vítimas a entrarem em contato com o atacante por e-mail, ao contrário de outras gangues de ransomware que geralmente preferem um portal de pagamento baseado em onion ou similar. Além disso, uma cópia da nota de resgate é deixada na raiz da unidade do sistema.

Detecção do Zeoticus 2.0

Aumente sua defesa proativa contra o ransomware Zeoticus 2.0 com uma nova regra Sigma lançada por nosso prolífico desenvolvedor da Threat Bounty Osman Demir:

https://tdm.socprime.com/tdm/info/8DlhPQ0Osvzi/7j4JpncBTwmKwLA9R-kf/

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix

MITRE ATT&CK:

Táticas: Impacto

Técnicas: Dados Criptografados para Impacto (T1486)

Ao longo de 2020, o ransomware assumiu de forma confiante as posições de liderança entre as ameaças que desafiam empresas de todos os tamanhos. Portanto, a detecção oportuna de atividades maliciosas torna-se uma tarefa prioritária. Confira regras de detecção dedicadas da SOC Prime no Threat Detection Marketplace para se proteger contra as principais famílias de ransomware de 2020.

Assine o Threat Detection Marketplace para super carregar suas capacidades de defesa cibernética com uma plataforma de conteúdo como serviço (CaaS) pioneira na indústria. Nossa biblioteca agrega mais de 95.000 regras de Detecção e Resposta, parsers, consultas de pesquisa e outros conteúdos mapeados para as estruturas CVE e MITRE ATT&CK®. Interessado em criar seu próprio conteúdo de detecção? Junte-se ao nosso Programa de Recompensas por Ameaças e contribua para os esforços da comunidade no combate às ameaças cibernéticas em constante evolução.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix 5 min de leitura Ameaças Mais Recentes Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix by Veronika Telychko Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix 5 min de leitura Ameaças Mais Recentes Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix by Veronika Telychko Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux 6 min de leitura Ameaças Mais Recentes Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux by Veronika Telychko
Todas as notícias