Detecção de Ransomware Zola: A Família Proton Evolui com uma Nova Variante de Ransomware com Interruptor de Desligamento
Índice:
Seguindo ataques in-the-wild explorando CVE-2024-37085 por diversas gangues de ransomware, os defensores encontram uma nova variante da nefasta família de ransomware Proton chamada Zola. A variante Zola exibe capacidades sofisticadas como resultado das múltiplas iterações e atualizações da família de ransomware, incorporando escalonamento de privilégios, funcionalidade de sobrescrição de disco e um interruptor de interrupção que termina processos se um layout de teclado persa for detectado.
Detecção de Ataques do Ransomware Zola
De acordo com um relatório da Statista relatório, houve 317,59 milhões de ataques de ransomware globalmente em 2023, destacando uma escalada contínua tanto na escala quanto na sofisticação desses ataques. As gangues de ransomware evoluem continuamente seu conjunto de ferramentas maliciosas, com novas variantes maliciosas emergindo na arena cibernética diariamente.
A mais recente ameaça para os defensores cibernéticos é uma nova variante da família de ransomware Proton, chamada Zola. Para detectar ataques do Zola em seus estágios iniciais, os profissionais de segurança podem contar com a Plataforma SOC Prime para defesa cibernética coletiva, que agrega regras de detecção relevantes e oferece soluções avançadas de detecção e caça de ameaças para fortalecer a postura de segurança das organizações.
Pressione o botão Explorar Detecções abaixo para acessar instantaneamente uma pilha de detecção abrangente projetada para enfrentar atividades maliciosas associadas aos ataques do ransomware Zola. Todas as regras de detecção são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake e estão mapeadas para o framework MITRE ATT&CK. Além disso, os algoritmos de detecção são enriquecidos com metadados extensivos, incluindo CTI referências, cronogramas de ataque e recomendações de triagem, otimizando a investigação de ameaças.
Especialistas em segurança que buscam conteúdo de detecção adicional para enfrentar os mais recentes ataques de ransomware e investigar sua evolução retrospectivamente podem contar com o Threat Detection Marketplace da SOC Prime. Ao aplicar a etiqueta “ransomware“, os defensores cibernéticos podem encontrar uma coleção abrangente de regras e consultas relevantes.
Análise do Ransomware Zola
O surgimento de novas cepas de ransomware tornou-se comum na última década, com algumas delas aumentando em sofisticação e persistência, experimentando novas iterações e evoluindo por meio de rebranding, o que incentiva os defensores a estarem sempre em alerta. Pesquisadores da Acronis descobriram recentemente o ransomware Zola, uma versão rebrandada da família Proton, que surgiu no início da primavera de 2023.
Como suas dezenas de predecessores, Zola utiliza Mimikatz, diversas utilidades para superar proteções do Windows Defender e outras ferramentas ofensivas para o comprometimento inicial. Zola também compartilha uma semelhança com as cepas anteriores da família na criação de um mutex durante a execução para evitar execuções simultâneas. No entanto, a iteração mais recente se destaca de seus predecessores por apresentar um interruptor de interrupção que termina processos ao detectar um layout de teclado persa.
Se o interruptor de interrupção não for ativado, Zola verifica por direitos de administrador e engana a vítima a executar o executável com privilégios elevados se a verificação for malsucedida. Antes de criptografar os arquivos, Zola realiza várias ações preparatórias, incluindo gerar um ID único para a vítima e dados de chave, esvaziar a Lixeira, modificar a configuração de inicialização e excluir cópias de sombra para impedir a recuperação. Ele também tem como alvo diversos processos e serviços listados em seu binário, incluindo software de segurança e outros programas que possam prejudicar a criptografia ao bloquear arquivos.
Uma vez que as ações preparatórias são concluídas, Zola inicia várias threads para criptografar arquivos e deposita uma nota de resgate em cada pasta criptografada. Além disso, altera o papel de parede da área de trabalho para exibir instruções para que a vítima envie um e-mail para os adversários com seu ID único.
Semelhante a outras iterações de ransomware baseadas no Proton, Zola retém uma capacidade de sobrescrição de disco. Quase no fim da execução, ele gera um arquivo temporário em C:, escrevendo dados não inicializados em blocos de 500 KB até que o disco esteja cheio, então exclui o arquivo. Este método adversário é destinado a dificultar a análise antimalware e a recuperação de dados sobrescrevendo qualquer espaço remanescente no disco.
O surgimento de novas iterações de ransomware, como Zola, que mantém recursos principais de versões anteriores ao mesmo tempo que introduz funções mais avançadas, exige maneiras mais sofisticadas de enfrentar ameaças em evolução. O conjunto completo de produtos da SOC Prime para engenharia de detecção impulsionada por IA, caça de ameaças automatizada e validação de pilha de detecção ajuda as organizações a evoluírem suas defesas em escala, contando com a equipe e o conjunto de tecnologias que já possuem.
