BlackByte Ransomware-Erkennung: Neuer Weckruf
Inhaltsverzeichnis:
Das Federal Bureau of Investigation (FBI) und der U.S. Secret Service (USSS) haben eine gemeinsame Cybersicherheitswarnung in Bezug auf die Aktivitäten der BlackByte Ransomware-as-a-Service (RaaS) Gruppe veröffentlicht. BlackByte-Ransomware wurde gegen Unternehmen in den USA eingesetzt, die primäre Ziele darstellen. Die größten Kosten fallen stark auf kritische Infrastruktursektoren wie staatliche Einrichtungen, Finanzdienstleistungen, Lebensmittel und Landwirtschaft.
BlackByte Ransomware-Abschwächung
Laut den aktuellen Daten sollen die Angreifer Zugang zu den Umgebungen der Opfer erhalten haben, indem sie eine Schwachstelle in Microsoft Exchange Server ausgenutzt haben. Um Verhaltensweisen zu identifizieren, die mit BlackByte Ransomware verbunden sind, wie etwa Versuche, Registrierungen für erhöhte Privilegien zu ändern, nutzen Sie die folgende Bedrohungserkennungsinhalte:
Verhalten von BlackByte Ransomware – Feb 2022 (via Prozesserstellung)
Diese Erkennung hat Übersetzungen für die folgenden SIEM, EDR & XDR Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt, das die Taktik Impact mit Data Encrypted for Impact (T1486) als primäre Technik adressiert.
BlackByte Ransomware ändert Registrierungen, um Privilegien zu erhöhen
Diese Erkennung hat Übersetzungen für die folgenden SIEM, EDR & XDR Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Die Regel ist mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt, das die Taktik Defense Evasion mit Modify Registry (T1112) als Haupttechnik adressiert.
Die Regeln werden von unseren engagierten Threat Bounty Entwicklern bereitgestellt Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, die ein wachsames Auge auf aufkommende Bedrohungen haben.
Die vollständige Liste der Erkennungen im Threat Detection Marketplace Repository der SOC Prime Plattform ist verfügbar hier. Möchten Sie Ihre eigenen Sigma-Regeln erstellen? Nehmen Sie an unserem Threat Bounty Programm teil und werden Sie für Ihren wertvollen Beitrag belohnt.
Erkennungen anzeigen Am Threat Bounty teilnehmen
BlackByte Ransomware Angriffe
Die Bedrohung trat erstmals im Juli 2021 auf, wiederkehrend jeden zweiten Monat mit mehreren Angriffen gegen die USA, Europa und Australien. Derzeit ist bekannt, dass BlackByte RaaS eine Schwachstelle in Microsoft Exchange Server ausnutzt, um anfänglich Zugriff auf die Netzwerke der Opfer zu erhalten, laut der gemeinsamen Beratung des FBI und des USSS gemeinsame Beratung.
Sobald die Umgebung verletzt ist, arbeiten die Angreifer daran, eine dauerhafte Präsenz im infizierten System zu erlangen und Privilegien zu erhöhen, bevor sie Dateien exfiltrieren und verschlüsseln. Die Betreiber von BlackByte-Ransomware haben in bestimmten Fällen nur teilweise Daten verschlüsselt. Datenwiederherstellung ist möglich, wenn eine Entschlüsselung nicht möglich ist. BlackByte Ransomware führt ausführbare Dateien von c:windowssystem32 und C:Windows aus. Die Neuerung der neuesten Version dieser Ransomware besteht darin, dass sie keine Kommunikation mit externen IP-Adressen benötigt, um eine erfolgreiche Verschlüsselung durchzuführen.
Eine Notiz, die ein Opfer auffordert, ein Lösegeld über das Tor-Netzwerk zu begleichen, ist ein unverzichtbarer Bestandteil des Angriffs. Im neuesten Bericht rät das FBI Ransomware-Opfern, nicht zu zahlen, da dies die Datenwiederherstellung nicht garantiert und stattdessen die Hacker zu weiteren Angriffen ermutigt. Opfern wird geraten, Verstöße zu melden, damit Ransomware-Betreiber verfolgt werden können.
Auf die Gefahr hin, wie eine kaputte Schallplatte zu klingen, ist es unnötig zu erwähnen, dass Bedrohungsprävention & -erkennung von größter Bedeutung sind. Melden Sie sich kostenlos bei SOC Primes Detection as Code Plattform an, um Bedrohungserkennung einfacher, schneller und effizienter mit den besten Praktiken und geteiltem Fachwissen der Branche zu gestalten. Die Plattform ermöglicht es SOC-Profis auch, ihre Erkennungsinhalte zu teilen, an erstklassigen Initiativen teilzunehmen und den Input zu monetarisieren.