Black Basta Ransomware-Erkennung: Neue Zusammenarbeit mit QBot
Inhaltsverzeichnis:
QBot, auch bekannt als Qakbot, gibt es seit 2007, während ihre Begleiter, eine Hackergruppe mit dem Namen Black Basta, erst vor ein paar Monaten aufgetaucht ist – im April 2022. Laut den neuesten Einblicken in eine Partnerschaft zwischen Qakbot und Black Basta verwendet letztere diese modulare Informationsdiebstahler , um sich durch das kompromittierte System zu bewegen und die Persistenz aufrechtzuerhalten, wobei die laterale Bewegung die Kerntaktik in dieser Kampagne ist. Beweise deuten darauf hin, dass die Bedrohungsakteure Cobalt-Strike -Beacons auf den Opfermaschinen eingesetzt haben.
Erkennen der Black Basta Ransomware
Um Black Basta Bedrohungsaktivitäten zu erkennen, die Ihr Netzwerk kompromittieren könnten, nutzen Sie das folgende Set von Sigma-Regeln , die auf der SOC Prime Detection as Code Plattform verfügbar sind:
Sigma-Regeln zur Erkennung von Black Basta Ransomware
Nicht registrierte Benutzer können die Sammlung von Sigma-Regeln durchsuchen, die über die Cyber Threat Search Engine verfügbar sind. Drücken Sie die Drill Down to Search Engine -Taste, um auf einen zentralen Ort für kostenlose SOC-Inhalte zuzugreifen.
Registrierte Sicherheitsexperten nutzen das volle Potenzial der weltweit größten und fortschrittlichsten Plattform für kollaborative Cyber-Abwehr. Drücken Sie die View in SOC Prime Platform button , um auf eine umfassende Sammlung der aktuellsten Regeln zur Erkennung von Ransomware-Infektionen zuzugreifen.
View in SOC Prime Platform Drill Down to Search Engine
Black Basta Ransomware Analyse
Eine produktive Ransomware-Gruppe bekannt unter dem Namen Black Basta zeigt eine Bereitschaft neue Horizonte in der Cyber-Offensive zu erobern, indem sie neue Malware-Tools und Hacker-Techniken anpasst. Obwohl sie ein Neuling auf dem Gebiet der Ransomware-Angriffe sind, haben sie sich bereits durch hochpreisige Verbrechen einen Namen gemacht und weltweit Doppel-Erpressungsangriffe gestartet.
NCC Group’s Forscher berichteten über eine kürzliche Zusammenarbeit von Black Basta mit QBot. Der Banking-Trojaner, oft als Schweizer Taschenmesser-Malware aufgrund seiner beeindruckenden Vielseitigkeit in bösartigen Operationen bezeichnet, wird häufig als Dropper in Ransomware-Angriffen eingesetzt. Black Basta-Gegner nutzten ihn hauptsächlich wegen seiner Fähigkeit, sich lateral innerhalb einer kompromittierten Umgebung zu bewegen, mit dem Ziel, die Ransomware-Ausführungen auf alle Hosts innerhalb eines kompromittierten Netzwerks abzulegen. Die aktuellen Daten deuten darauf hin, dass in der jüngsten Kampagne Gegner die Prozesse von Windows Defender auf kompromittierten Geräten beenden.
Neugierig, mehr über die Verbesserung Ihrer Sicherheitsmaßnahmen zu erfahren? Treten Sie SOC Prime’s Platform bei, um Zugang zum weltweit größten Pool an Erkennungsinhalten zu erhalten, die von Branchenführern erstellt wurden, und die Effizienz in Ihrem Sicherheitsökosystem zu steigern. SOC Prime, mit Hauptsitz in Boston, USA, wird von einem internationalen Team erfahrener Experten angetrieben, die sich der Förderung der kollaborativen Cyber-Abwehr verschrieben haben.
