Alpha Spider Ransomware-Angriffe erkennen: TTPs, die von ALPHV alias BlackCat RaaS-Betreibern genutzt werden

Ransomware bleibt eine der größten Bedrohungen für Organisationen weltweit, mit einem konstanten Anstieg des Umfangs und der Raffinesse der Angriffe. Unter den Hauptakteuren in der Ransomware-Szene sticht die ALPHA SPIDER-Gruppe hervor, indem sie eine Reihe von kürzlich erfolgten hochkarätigen Angriffen auf den US-amerikanischen Gesundheitssoftware-Dienstleister Change und den Gaming-Riesen MGM für sich beansprucht. Angesichts der Tatsache, dass ALPHA SPIDER aufgrund ihrer massiven Präsenz im Cyberraum eine erhebliche Bedrohung darstellt, verkündete das US-Justizministerium eine internationale Strafverfolgungsoperation zur Beschlagnahme von ALPHV (auch bekannt als BlackCat) ALPHV (aka BlackCat) Operationen, gefolgt von einer detaillierten CISA-Beratung im Rahmen der #StopRansomware-Initiative.

Detektiere ALPHA SPIDER (auch bekannt als ALPHV, BlackCat) Ransomware-Angriffe

Nachdem es erstmals Anfang der 2020er Jahre auftauchte, erklärte sich ALPHA SPIDER schnell selbst zum neuen Marktführer im Ransomware-as-a-Service (RaaS)-Bereich und zog aufgrund zahlreicher hochkarätiger Ziele, raffinierter schädlicher Fähigkeiten und großzügiger Angebote für die Partner viel Aufmerksamkeit auf sich.

Um ALPHV-Angriffen voraus zu sein, benötigen Cyber-Verteidiger fortschrittliche Bedrohungserkennungs- und Jagdwerkzeuge, die mit kuratierten Erkennungsalgorithmen angereichert sind, die sich mit den Techniken, Taktiken und Prozeduren der Gegner befassen. Die SOC Prime Plattform aggregiert eine Reihe relevanter Sigma-Regeln, die mit 28 SIEM-, EDR-, XDR- und Data-Lake-Technologien kompatibel sind, um bösartige Aktivitäten im Zusammenhang mit ALPHV aka BlackCat zu identifizieren.

Klicken Sie einfach auf die Explore Detections -Schaltfläche unten, um sofort tief in den umfangreichen Erkennungsstapel einzutauchen und TTPs im Zusammenhang mit den neuesten ALPHA SPIDER-Kampagnen zu identifizieren. Alle Regeln sind auf das MITRE ATT&CK Framework v14.1 abgebildet und mit detaillierter Bedrohungsintelligenz angereichert.

Explore Detections

Um die Bedrohungsermittlung zu optimieren und SOC-Operationen zu unterstützen, könnten Sicherheitsfachleute auf eine breitere Sammlung von Sigma-Regeln zugreifen, die sich mit verwandten bösartigen Aktivitäten befassen, indem sie bei SOC Prime nach den Stichwörtern „ALPHV“ und „BlackCat“ suchen.

Analyse des Alphv/BlackCat Ransomware-Angriffs

Die berüchtigten ALPHV (BlackCat, ALPHA SPIDER) Ransomware-Betreiber stehen seit dem Spätherbst 2021 im Mittelpunkt der Cyber-Bedrohungslandschaft, da sie eine breite Palette von Branchen ins Visier genommen und ihren Gegner-Werkzeugkasten kontinuierlich erweitert haben. BlackCat wird als die nächste Generation der DarkSide or BlackMatter Ransomware-Gangs angesehen, was auf ein hohes Maß an Fachwissen und Fähigkeiten ihrer Partner hinweist. Im letzten Jahr wurde beobachtet, dass ALPHV-Hacker eine Reihe neuer Gegnermethoden und innovativer Ansätze als Komponenten ihrer Ransomware-Aktivitäten einsetzten.

Das ALPHV RaaS zeichnet sich dadurch aus, dass es in der Programmiersprache Rust geschrieben ist und eine Reihe von Fähigkeiten bietet, die darauf abzielen, fortgeschrittene Partner anzulocken. Letztere umfassen Ransomware-Varianten, die auf mehrere Betriebssysteme abzielen, eine hoch anpassbare Variante zur Erkennungsevasion, eine durchsuchbare Datenbank, die auf einer klaren Web-Domain gehostet wird, eine dedizierte Leak-Site und die Integration eines Bitcoin-Mischers in Partnerpanels. Laut der neuesten CrowdStrike-Forschunghaben Alphv-Betreiber Linux-Versionen von Cobalt Strike und SystemBC genutzt, um eine Erkundung von VMware ESXi-Servern durchzuführen, bevor die Ransomware-Bereitstellung initiiert wurde.

ALPHV/BlackCat ist eine hochproduktive Ransomware-Gang, die sich zu einer Reihe hochkarätiger Angriffe bekannt hat, wie z. B. gegen den Gaming-Riesen MGM Resorts und den Anbieter für Gesundheitszahlungssoftware Change Healthcare. Der neueste Angriff, der im letzten Monat durchgeführt wurde, führte zu erheblichen Dienstunterbrechungen für Gesundheitsorganisationen wie Apotheken.

In der frühen Angriffsphase nutzen ALPHV-Partner einige Schwachstellen, die als CVE-2021-44529 und CVE-2021-40347 identifiziert wurden, für den ersten Zugriff und die Persistenz im Zielnetzwerk aus. Später setzen Gegner Nmap, das berüchtigte Netzwerk-Scan-Utility, ein, um Netzwerkentdeckungsoperationen durchzuführen, zusammen mit spezifischen Nmap-Skripten, um einen gezielten Schwachstellenscan durchzuführen. Außerdem wurde beobachtet, dass sie versuchen, eine weitere RCE-Schwachstelle auszunutzen, die als CVE-2021-21972 nachverfolgt wird, und weiter in Netzwerkerkundungsaktivitäten eintauchen. Zudem missbrauchten ALPHV die Veeam-Backup-Tool nach ihrer anfänglichen seitlichen Bewegung und nutzten das Veeam Credential Recovery PowerShell-Skript, um Benutzeranmeldeinformationen direkt aus der Veeam-Datenbank zu stehlen.

Mit den zunehmenden Volumina von Ransomware-Angriffen, die sich gegen den Gesundheitssektor richten, veröffentlichte das US-Gesundheitsministerium OCR kürzlich einen Brief zu dem Cybersecurity-Vorfall, der Change Healthcare betraf,zusammen mit zahlreichen anderen Gesundheitseinrichtungen, der darauf abzielt, das Bewusstsein für Cybersecurity in diesem zu Ransomware-Angriffen hochgradig anfälligen Industriesektor zu schärfen. Im letzten halben Jahrzehnt gab es einen Anstieg von 264 % bei den an die OCR gemeldeten Ransomware-Angriffen, was das Bedürfnis nach Stärkung proaktiver Abwehrmöglichkeiten innerhalb US-amerikanischer Gesundheitsorganisationen verstärkt.

Mit einer zunehmenden Anzahl von Trends und raffinierteren Einbrüchen war Ransomware seit 2021 die größte Herausforderung für die meisten Organisationen, einschließlich großer Unternehmen. Durch den Einsatz von Attack Detectivewird das Auffinden von Ransomware-Angriffen und die zeitnahe Identifizierung potenzieller Einbrüche schneller, einfacher und effizienter. Verlassen Sie sich auf das System, das umfassende Sichtbarkeit Ihrer Angriffsfläche gewährleistet und verhaltensbasierte Erkennungsalgorithmen oder IOCs bietet, die auf Ihre verwendete Sicherheitslösung zugeschnitten sind, ohne dass Ihre Daten verschoben werden müssen, unterstützt durch ATT&CK als zentrales Korrelationsalgorithmus.