Erkennung von Black Basta Ransomware-Angriffen: Jüngste bösartige Kampagnen mit neuen benutzerdefinierten Tools, die der FIN7-Gruppe zugeschrieben werden
Inhaltsverzeichnis:
The Black Basta Ransomware-Gruppe trat im April 2022 in der Cyber-Bedrohungsarena auf. Obwohl das Hacking-Kollektiv als relativ neu im Bereich der Cyber-Offensive angesehen werden kann, haben sie bereits einen berüchtigten Ruf für die schnelle Weiterentwicklung ihres Gegnertoolkits erworben und passen sich an anspruchsvollere Werkzeuge an. Cybersicherheitsforscher verbinden die neuesten Aktivitäten der Black Basta Ransomware-Betreiber mit der aus Russland stammenden Hacking-Gruppe FIN7 aufgrund der Verwendung neuartiger Verteidigungsbeeinträchtigungs-Tools, die zu den offensiven Fähigkeiten der Letzteren gehören.
Erkennen Sie die neuesten Angriffe von Black Basta
Mit der relativ neuen Black Basta Ransomware-Gruppe, die ihr Arsenal erweitert und es mit neuartigen benutzerdefinierten Tools und Techniken bereichert, sollten Cybersicherheitsexperten rechtzeitig mit relevanten Verteidigungsfähigkeiten ausgestattet werden, um Ransomware-Angriffe in diesem Ausmaß und dieser Wirkung abzuwehren. Die Detection as Code-Plattform von SOC Prime hat kürzlich eine neue Sigma-Regel für die Erkennung von Black Basta Ransomware-Angriffen veröffentlicht, die von unserem produktiven Threat Bounty-Entwickler Kyaw Pyiyt Htet (Mik0yan):
Diese Sigma-Regel erkennt die persistierenden Registrierungs-Run-Schlüssel, die von Black Basta Ransomware-Betreibern in den neuesten Angriffen verwendet werden, die Verbindungen zur FIN7 Hacking-Gruppe haben. Die Erkennung kann über 22 SIEM-, EDR- und XDR-Technologien eingesetzt werden und ist mit dem MITRE ATT&CK®-Framework abgestimmt, das die Taktik der Persistenz und die entsprechende Technik der Boot- oder Logon-Autostart-Ausführung (T1547) adressiert.
Die Cybersicherheitsbranche verbindet Threat Hunter und Detection Engineers, die bereit sind, sich gegenseitig zu helfen und im nie endenden Kampf gegen Gegner einen Vorteil zu erlangen. Die Crowdsourcing-Initiative von SOC Prime bietet eine brillante Gelegenheit für angehende Köpfe und erfahrene Experten, Branchenkollegen zu helfen und eine Belohnung für ihren Beitrag zu verdienen. Treten Sie dem Threat Bounty-Programm bei, um wiederkehrende Auszahlungen zu verdienen, während Sie kontinuierlich Ihre Sigma- und ATT&CK-Fähigkeiten meistern und einen Unterschied im Bereich machen.
Suchen Sie nach Möglichkeiten, sich proaktiv gegen Black Basta Ransomware-Angriffe zu verteidigen? Klicken Sie auf den Erkunden Sie Erkennungen Button, um sofort auf alle Sigma-Regeln für aktuelle und aufkommende Bedrohungen im Zusammenhang mit den Black Basta Ransomware-Betreibern zuzugreifen. Tauchen Sie in die MITRE ATT&CK-Referenzen, CTI-Links, relevante Binärdateien, Abhilfemaßnahmen und mehr Kontext zu Cyber-Bedrohungen ein.
Beschreibung von Black Basta: FIN7-verknüpfte Ransomware-Angriffe
Black Basta-Akteure haben die Cyber-Bedrohungsarena seit über einem halben Jahr erobert, jedoch bleiben ihre Verbindungen zu anderen Ransomware-Betreibern für Cyber-Verteidiger weiterhin fraglich. Die Gruppe entwickelt ihre offensiven Fähigkeiten schnell weiter, indem sie mit einer Vielzahl von TTPs experimentiert. Black Basta nutzt Techniken zur Eskalation von Privilegien durch Ausnutzung eines Satzes bekannter Schwachstellen, einschließlich PrintNightmare and ZeroLogon, hat mehrere RATs in seinem offensiven Toolkit und wendet eine Reihe gegnerischer Methoden zur lateralen Bewegung an.
Anfang Juni 2022 fanden Cybersicherheitsforscher Spuren ihrer Zusammenarbeit mit QBot alias Qakbot, um die berüchtigte Hintertür zur lateralen Bewegung und weiteren Bereitstellung von Cobalt Strike Beacons auf den kompromittierten Maschinen zu nutzen.
Forscher von SentinelLabs haben kürzlich TTPs von Black Basta Ransomware-Betreibern analysiert und neue gegnerische Tools und Techniken entdeckt, die einer russisch unterstützten Hacking-Gruppe zugeschrieben werden können, die als FIN7 alias Carbanak-Gruppe verfolgt wird, basierend auf dem Namen der Malware, die sie in ihren bösartigen Kampagnen angewendet haben.
Die Nutzung eines neuartigen Verteidigungsbeeinträchtigungswerkzeugs, das von FIN7-Threat-Akteuren entwickelt wurde, hat es Cybersicherheitsforschern ermöglicht, eine Verbindung zwischen zwei Hacker-Kollektiven herzustellen. Darüber hinaus enthüllt der Einsatz eines Satzes von benutzerdefinierten Tools und bösartigen Proben in den neuesten Black Basta Ransomware-Operationen, einschließlich WindefCheck.exe und BIRDDOG-Hintertür alias SocksBot, die zum FIN7-Gegner-Toolkit gehören, weitere Verbindungen zwischen den Gegnern.
Mit der schnell wachsenden Zahl von Ransomware-Angriffen ist proaktive Erkennung der Schlüssel zur Stärkung der Cybersicherheitslage der Organisation. Erhalten Sie 650+ Sigma-Regeln, um aktuelle und aufkommende Ransomware-Angriffe zu erkennen und bleiben Sie immer einen Schritt voraus den Gegnern. Erreichen Sie 30+ Regeln kostenlos oder erhalten Sie den gesamten Erkennungs-Stack auf Abruf bei http://my.socprime.com/pricing.
