BlackCat Ransomware-Angriffe: Bedrohungsakteure verwenden Brute Ratel und Cobalt Strike Beacons für fortgeschrittene Eindringversuche
Inhaltsverzeichnis:
Cybersicherheitsforscher haben eine Welle neuer Aktivitäten der berüchtigten BlackCat-Ransomware-Gruppe aufgedeckt, die maßgeschneiderte Malware-Binaries für ausgefeiltere Eindringversuche einsetzt. Bei den neuesten Angriffen haben Bedrohungsakteure Cobalt-Strike-Beacons und ein neues Penetrationstest-Tool namens Brute Rateleingesetzt, wobei letzteres als Windows-Dienst auf den kompromittierten Rechnern installiert wurde.
BlackCat-Ransomware-Angriffe erkennen
Um über die sich ständig ändernde Bedrohungslandschaft informiert zu bleiben und effektiv gegen Angriffe, die an Volumen und Komplexität zunehmen, standzuhalten, suchen globale Organisationen nach Möglichkeiten, ihre Cyberverteidigungsfähigkeiten zu verbessern. Da Ransomware weiterhin ein aufkommender Trend in der Cyber-Bedrohungslandschaft 2021-2022 bleibt, bemühen sich Cybersicherheitsexperten, sich gegen verwandte Bedrohungen zu schützen. Die Detection as Code-Plattform von SOC Prime hat kürzlich eine neue Sigma-Regel veröffentlicht, um ein bösartiges Brute Ratel-Tool zu erkennen, das in den neuesten BlackCat-Ransomware-Operationen eingesetzt wurde. Registrieren Sie sich oder loggen Sie sich auf der Plattform von SOC Prime ein, um Zugriff auf die von unserem produktiven Threat Bounty-Entwickler Kyaw Pyiyt Htet (Mik0yan):
geschriebene Erkennung zu erhalten.
Erfahrene und vielversprechende Cyber-Verteidiger mit einem ausgeprägten Gespür für Cybersicherheit und Ambitionen zur Selbstentwicklung sind herzlich eingeladen, unserem Threat Bounty-Programm beizutreten, um Erkennungsalgorithmen zu entwickeln, sie mit Branchenkollegen zu teilen, Anerkennung zu erlangen und finanzielle Belohnungen für ihre Beiträge zu verdienen.
Die oben genannte Sigma-Regel kann über 18 von SOC Prime’s Plattform unterstützte SIEM-, EDR- und XDR-Lösungen hinweg angewendet werden. Zur Gewährleistung einer verbesserten Sichtbarkeit in Bezug auf verwandte Bedrohungen ist die Erkennung mit dem MITRE ATT&CK®-Framework ausgerichtet, das die Prozessinjektion (T1055)-Technik aus dem Repertoire der Taktiken der Abwehrevasion anspricht. Cybersicherheitsexperten können auch sofort nach Bedrohungen suchen, die mit den BlackCat-Ransomware-Operationen verbunden sind, indem sie die oben erwähnte Sigma-Regel über SOC Prime’s Quick Hunt-Modul.
verwenden. SOC Prime’s Plattform kuratiert die gesamte Liste der Erkennungsalgorithmen, um Organisationen dabei zu helfen, die BlackCat-Ransomware-Aktivität in ihrer Umgebung rechtzeitig zu identifizieren. Um Zugriff auf das dedizierte Toolkit zu erhalten, klicken Sie auf den Detect & Hunt Button. Alternativ können Threat Hunters, Cyber Threat Intelligence-Spezialisten und andere Cyber-Verteidiger sofort den umfassenden Bedrohungskontext hinter den BlackCat-Ransomware-Operationen erkunden, auch ohne Registrierung. Klicken Sie auf den Explore Threat Context-Button, um auf aufschlussreiche Kontextinformationen zuzugreifen, einschließlich MITRE ATT&CK-Referenzen, CTI-Links und mit den Sigma-Regeln verknüpften Windows-Executable-Binaries, die Ihre Suche nach verwandten Bedrohungen begleiten.
Detect & Hunt Explore Threat Context
BlackCat-Analyse: Die neuesten Updates
Nachdem es im November 2021 erstmals aufgetaucht war, erklärte sich BlackCat (auch als Alphv bekannt) schnell selbst zum neuen Führer im Ransomware-as-a-Service (RaaS)-Bereich und erregte viel Aufmerksamkeit durch seine ungewöhnliche Rust-Codiersprache, ausgeklügelten bösartigen Fähigkeiten und das großzügige Angebot für die Partner, 90% der Lösegeldzahlungen zu behalten. Sicherheitsexperten glauben, dass BlackCat der Nachfolger der DarkSide or und und
-Ransomware-Gruppen sein könnte, was auf ein komplexes Fähigkeitenset der Betreiber hinweist. Die neueste Untersuchung von Sophos
zeigt, dass die BlackCat-Betreiber den Malware-Stamm ständig mit neuen Tricks verbessern. Bedrohungsakteure verlassen sich typischerweise auf ungepatchte oder veraltete Firewalls oder VPN-Dienste, um sich den ersten Zutritt zu den exponierten Netzwerken zu verschaffen oder VPN-Anmeldedaten zu ergreifen, um sich als autorisierte Benutzer anzumelden. Nach der Infektion werden verschiedene Open-Source- und kommerziell verfügbare Tools eingesetzt, um die Fernzugriffsmöglichkeiten von BlackCat zu verbessern. Insbesondere die Analyse der neuesten Eindringversuche zeigt, dass Threat Akteure TeamViewer, nGrok, Cobalt Strike und Brute Ratel genutzt haben, um alternative Zugangsrouten sicherzustellen. Laut Sophos ist das Brute Ratel-Pentest-Suite mit Cobalt Strike-ähnlichen Merkmalen die neueste Anschaffung, um die Nach-Ausnutzungs-Fähigkeiten zu verbessern, während sie unter dem Radar bleiben.
Während sie zum schlechten Ruf von BlackCat beitragen, werden die Ransomware-Betreiber mutiger und stellen ihren Opfern höhere Lösegeldforderungen. Die Bande hat es typischerweise auf hochkarätige Ziele abgesehen, darunter OilTanking GmbH, Swissport, Florida International University und die University of North Carolina A&T. Die Lösegeldforderungen sind im Laufe der Zeit gestiegen und erreichen nun $2,5 Millionen, mit einem möglichen Rabatt von 50% im Falle einer schnellen Zahlung.
Mit einer zunehmenden Anzahl von Trends und ausgefeilteren Eindringversuchen wird Ransomware als die größte Herausforderung für die meisten Organisationen im Jahr 2021 angesehen, einschließlich großer Unternehmen. Registrieren Sie sich für SOC Prime’s Detection as Code-Plattform und greifen Sie auf die Sammlung von über 200.000 Erkennungsalgorithmen zu, um aufkommende Bedrohungen zu identifizieren und proaktiv zu verteidigen.
