BlackCat-Ransomware-Erkennung: Pech in Rust geschrieben

Gegner suchen nach neuen Mitteln, um den Druck zu erhöhen, dieses Mal mit neuem, in Rust geschriebenem Ransomware, um Organisationen in den USA, Europa, Australien, Indien und den Philippinen anzugreifen. Die ALPHV BlackCat Ransomware-Entwickler zielen auf Windows- und Linux-Betriebssysteme ab, entweder durch ein Framework/Toolset von Drittanbietern (z. B. Cobalt Strike) oder durch Ausnutzung von Schwachstellen in Anwendungen.

Die BlackCat-Gruppe rekrutiert nun aktiv Hacker in Foren wie RAMP, XSS und Exploit, indem sie sie mit einem beeindruckenden Anteil an Lösegeldzahlungen lockt.

BlackCat Ransomware-Angriffsroutine

Laut der umfassenden Palo Alto-Analysefällt diese Ransomware durch ihre Anpassungsfähigkeit auf, die es Angreifern ermöglicht, sie an jedes Ziel anzupassen, um den Schaden zu erhöhen. Die Bedrohungsakteure von BlackCat nutzen verschiedene Taktiken und Verschlüsselungsroutinen. Die Ransomware kann so konfiguriert werden, dass sie vier verschiedene Verschlüsselungsmodi:

1. Vollständige Dateiverschlüsselung
2. Schnell (nur die ersten N Megabyte werden verschlüsselt)
3. DotPattern (N Megabyte werden über M Schritte verschlüsselt)
4. Auto (Dateiverarbeitung ist auf dem Locker)

Aktuelle Daten deuten darauf hin, dass die Bedrohungsakteure, die BlackCat nutzen, mehrere Erpressungstechniken anwenden, um die Daten ihrer Opfer in doppelten und dreifachen Erpressungsschemata zu stehlen, drohen, sensible Informationen zu leaken, und verteilte Denial-of-Service (DDoS)-Angriffe durchführen.

Die Ransomware beendet Prozesse und Dienste, die potenziell die Verschlüsselung verhindern könnten, während des Einrichtungsprozesses. Folglich wird sie den Betrieb von virtuellen Maschinen und ESXi-VMs herunterfahren und ESXi-Snapshots löschen, um die Wiederherstellung zu verhindern. BlackCat verwendet eine zufällige Namenserweiterung auf jedem verschlüsselten Gerät, die allen Dateien hinzugefügt wird und im Lösegeldschreiben enthalten ist. Diese fordert die infizierten Benutzer auf, sich über TOR mit dem Zahlungsportal der Angreifer zu verbinden, wobei die Lösegeldforderungen in Bitcoin oder Monero gestellt werden.

Gemeldete Angriffe wie BlackCat

Wir beobachten einen wachsenden Trend von Hackern, ihr Repertoire an Sprachen zur Erstellung von Malware zu erweitern. Es gibt immer mehr Fälle von Malware, die in Dlang, Go, Nim und Rust geschrieben werden, um neue Wege zu finden, Sicherheitsvorkehrungen zu umgehen, Analysen zu entkommen und höhere Erfolgschancen zu erreichen. Als „neue Generation von Ransomware“ bezeichnet, zeigt BlackCat ähnliche Verhaltensmuster wie die eines DarkSide-Nachfolgers, BlackMatter Ransomware. Trotz zahlreicher Gemeinsamkeiten enthält die ALPHV-BlackCat-Ransomware innovative Merkmale, die sie von RaaS-Programmen, die auf Unternehmensverletzungen abzielen, unterscheiden. Die Betreiber von BlackCat haben aus den Fehlern ihrer RaaS-Vorgänger gelernt und setzen neue Infektionsvektoren, neuartige Ausführungsoptionen und besonders aggressive Namens- und Beschämungskampagnen ein.

BlackCat-Minderung

ALPHV tauchte erstmals Mitte November 2021 auf und durchstreift seitdem aktiv verschiedene Branchen auf der Suche nach Opfern. Leider recht erfolgreich. Laut Berichten werden die Opfer aufgefordert, bis zu 14 Millionen Dollar zu zahlen, um Zugang zu ihren Dateien zu erhalten.

Um Ihre Unternehmensinfrastruktur vor möglichen BlackCat-Angriffen zu schützen, können Sie ein Set kostenloser Sigma-Regeln herunterladen, das von unseren erfahrenen Threat-Bounty-Entwicklern Emir Erdogan and Kaan Yeniyolentwickelt wurde, die keinen Trick verpassen.

BlackCat-Ransomware-Erkennung (über Kommandozeile)

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.

Die Regel steht im Einklang mit dem neuesten MITRE ATT&CK® Framework v.10, das die Taktiken Command and Control, Execution, Impact und Exfiltration mit Application Layer Protocol (T1071), Command and Scripting Interpreter (T1059), Data Encrypted for Impact (T1486) und Data Transfer Size Limits (T1030) als Haupttechniken adressiert.

BlackCat Ransomware Execution And Recon UUID

Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Open Distro und AWS OpenSearch.

Die Regel steht im Einklang mit dem neuesten MITRE ATT&CK® Framework v.10, das die Taktiken Execution, Defense Evasion und Discovery mit Command und Scripting Interpreter (T1059), Indirect Command Execution (T1202) und System Service Discovery (T1007) als Haupttechniken adressiert.

Die vollständige Liste der Erkennungen im Threat Detection Marketplace-Repository der SOC Prime-Plattform ist hier verfügbar.

Melden Sie sich kostenlos bei SOC Prime’s Detection as Code-Plattform an, um die neuesten Bedrohungen in Ihrer Sicherheitsumgebung zu erkennen, die Protokollquelle und die MITRE ATT&CK-Abdeckung zu verbessern und gegen Angriffe einfacher, schneller und effizienter zu verteidigen. Sicherheitsprofis sind herzlich willkommen, dem Threat Bounty-Programm beizutreten, um kuratierte Sigma-Regeln mit der Community zu teilen und wiederkehrende Belohnungen zu erhalten.

Zur Plattform gehen Threat Bounty beitreten