BlueSky Ransomware-Erkennung: Zielt auf Windows-Hosts und nutzt Multithreading für schnellere Verschlüsselung
Inhaltsverzeichnis:
BlueSky Ransomware stellt eine sich schnell entwickelnde Malware-Familie dar, die über ausgeklügelte Anti-Analyse-Fähigkeiten verfügt und ihre Ausweichtechniken kontinuierlich verbessert. BlueSky Ransomware zielt auf Windows-Hosts ab und nutzt eine Multithreading-Technik für eine schnellere Dateiverschlüsselung. Cybersicherheitsforscher schreiben die aufgedeckten Ransomware-Muster der feindlichen Aktivität der berüchtigten Conti-Ransomware-Gruppezu, die seit langem eine schwere Bedrohung für globale Organisationen darstellt. Bemerkenswert ist, dass die Multithread-Code-Struktur der bösartigen BlueSky-Stämme Ähnlichkeiten mit der dritten Version der Conti-Gang-Ransomwareaufweist, die eine verbesserte Verschlüsselungsroutine auf der Grundlage von Multithreading und fortschrittlichen Ausweichtechniken anwendet.
Erkennen Sie BlueSky Ransomware
Um sicherzustellen, dass die Organisation rechtzeitig gegen BlueSky-Ransomware-Stämme geschützt ist, hat die SOC Prime-Plattform kürzlich eine neue Sigma-Regel veröffentlicht, die von unserem engagierten Threat Bounty-Inhaltbeitragenden Kyaw Pyiyt Htet (Mik0yan)entwickelt wurde. Folgen Sie dem unten stehenden Link, um die dedizierte Sigma-Regel direkt aus der SOC Prime Cyber Threats Search Engine zu erreichen, zusammen mit umfassender kontextueller Metadaten:
Diese auf Sigma basierende Bedrohungssuchabfrage erkennt die assoziierten Registrierungsschlüssel der BlueSky-Ransomware. Die Erkennung ist in 22 von der SOC Prime-Plattform unterstützte SIEM-, EDR- und XDR-Lösungen konvertierbar und stimmt mit dem MITRE ATT&CK®-Framework überein, das die Taktiken der Persistenz und Verteidigungsauswechslung sowie die entsprechenden Techniken zur Boot- oder Logon-Autostart-Ausführung (T1547) und zur Registrierungänderung (T1112) anspricht.
Mit dem SOC Prime Quick Hunt Modulkönnen Cybersecurity-Praktiker sofort nach der mit der BlueSky-Ransomware verbundenen feindlichen Aktivität suchen, indem sie die oben erwähnte Abfrage in ihrer SIEM- oder EDR-Umgebung ausführen.
Sind Sie ein erfahrener Detection Engineer, der daran interessiert ist, zur kollaborativen Cybersicherheit beizutragen? Treten Sie dem SOC Prime Threat Bounty Programbei, reichen Sie Ihre eigenen Sigma-Regeln ein, lassen Sie sie auf unserer Detection as Code-Plattform veröffentlichen und erhalten Sie wiederkehrende Belohnungen, während Sie die Welt zu einem sichereren Ort machen.
Um über sich schnell entwickelnde Ransomware-Angriffe auf dem Laufenden zu bleiben, können Sicherheitsteams die gesamte Sammlung relevanter Sigma-Regeln auf der SOC Prime-Plattform nutzen, indem sie auf die Schaltfläche Detektieren & Jagen unten klicken. Auch nicht registrierte SOC Prime-Nutzer können von unserer Cyber Threats Search Engine profitieren und die umfassenden kontextuellen Informationen im Zusammenhang mit Ransomware, einschließlich MITRE ATT&CK und CTI-Referenzen und weiterer relevanter Metadaten, erkunden, indem sie die Schaltfläche Bedrohungskontext erkunden unten klicken.
Detektieren & Jagen Bedrohungskontext erkunden
BlueSky Ransomware Analyse
Anfang August 2022 entdeckten Sicherheitsexperten eine neuartige Ransomware-Familie, die eine steigende Gefahr für Organisationen weltweit darstellt. Die neue Bedrohung mit dem Namen BlueSky zielt hauptsächlich auf Windows-Hosts ab und nutzt eine Multithreading-Technik für eine schnellere Datenverschlüsselung. Darüber hinaus setzt die Malware eine Vielzahl fortschrittlicher Ausweich- und Verschleierungstechniken ein, um unter dem Radar zu bleiben und hohe Infektionsraten sicherzustellen.
Laut der Untersuchung von CloudSEKbeginnt die Angriffskette mit einem PowerShell-Dropper, der das BlueSky-Payload von hxxps://kmsauto[.]us/someone/start.ps1. herunterlädt. Diese gefälschte Domain, die im September 2020 registriert wurde, imitiert ein altes Aktivierungstool namens KMSAuto Net Activator. Es wird mit hoher Wahrscheinlichkeit angenommen, dass sie von Bedrohungsakteuren russischer Herkunft betrieben wird.
Bemerkenswert ist, dass der PowerShell-Dropper vor dem Herunterladen des endgültigen BlueSky-Payloads eine lokale Privilegieneskalation entweder mit Hilfe des JuicyPotato-Tools oder durch Ausnutzung der Schwachstellen CVE-2020-0796 und CVE-2021-1732 durchführt. Anschließend landet das endgültige Ransomware-Payload als javaw.exe-Datei auf dem Host des Opfers und versucht, sich als legitime Windows-Anwendung zu tarnen.
Im nächsten Stadium des Angriffs verschlüsselt BlueSky die Dateien der Benutzer und fügt die .bluesky Dateierweiterung hinzu. Die Ransomware nutzt einen Multithreading-Ansatz, um einen ultraschnellen Verschlüsselungsprozess sicherzustellen. Diese Multithread-Architektur weist Ähnlichkeiten mit dem Conti v3-Stamm auf, jedoch wendet BlueSky andere Verschlüsselungsalgorithmen an. Die Forschung von Unit42 zeigt, dass BlueSky Ransomware ChaCha20 für die Dateiverschlüsselung und Curve25519 für den Schlüssel nutzt, was der Babuk-Ransomware-Routine ähnelt.
Außerdem nutzt BlueSky Ransomware ausgeklügelte Ausweichtricks. Bemerkenswert dabei ist, dass die Ransomware-Operatoren bösartige Proben kodieren und verschlüsseln, mehrstufige Payload-Zustellung und -Ladung nutzen und Verschleierungstechniken wie API-Hashing anwenden.
Da Ransomware-Angriffe in Umfang und Maße zunehmen, benötigen Sicherheitsforscher innovative Werkzeuge, um aufkommende Bedrohungen zu erkennen und den Angreifern einen Schritt voraus zu bleiben. Treten Sie der SOC Prime Detection as Code-Plattform bei, um die neuesten Angriffe mit der weltweit größten Sammlung von Sigma-Regeln zu erkennen, die Protokollquelle und MITRE ATT&CK-Abdeckung zu verbessern und aktiv dazu beizutragen, die Cyber-Abwehrfähigkeiten Ihrer Organisation zu stärken. Erfahrene Threat Hunters und Detection Engineers sind herzlich eingeladen, sich der Threat Bounty Program – SOC Prime Crowdsourcing-Initiative anzuschließen, um ihre Erkennungsalgorithmen mit der Cybersicherheits-Community zu teilen, zur kollaborativen Cybersicherheit beizutragen und wiederkehrende Vergütungen für ihren Input zu erhalten.
