Erkennung von QakBot-Malware-Kampagnen, die zu Black Basta-Ransomware-Infektionen führen

Ransomware ist eine Bedrohung Nummer eins und stellt eine erhebliche Gefahr für Sicherheitsverteidiger weltweit dar, wobei der Angriffstrend ständig wächst im gesamten Zeitraum 2021-2022. Kürzlich enthüllten Sicherheitsexperten eine massive QakBot-Malware-Kampagne, die verstärkt US-amerikanische Anbieter ins Visier nimmt, um Black Basta Ransomware zu verbreiten. 

In der letzten Novemberdekade 2022 sind mindestens 10 Unternehmen in den Vereinigten Staaten Opfer einer Reihe von aggressiven Angriffen geworden. In allen Fällen fungiert QakBot (auch bekannt als QBot oder Pinkslipbot) als Einstiegspunkt für Black Basta-Operatoren, die sich auf den bösartigen Strang verlassen, um die Persistenz innerhalb der angezielten Infrastruktur aufrechtzuerhalten. 

Black Basta Ransomware-Infektionen mit QakBot-Malware erkennen

Mit dem relativ neuen Black Basta RaaS-Ring, der sein Arsenal erweitert und es mit neuartigen benutzerdefinierten Tools und Techniken bereichert, sollten Cybersecurity-Experten rechtzeitig mit relevanten Abwehrfähigkeiten ausgestattet sein, um Ransomware-Angriffe dieses Umfangs und dieser Auswirkungen zu vereiteln. Die Detection as Code-Plattform von SOC Prime aggregiert eine Sammlung von Sigma-Regeln unserer aufmerksamen Threat Bounty-Entwickler Osman Demir and Zaw Min Htun zur Erkennung von Black Basta Ransomware, die sich auf QakBot zur Infektion stützt. 

Möglicher Black-Basta-Angriff [QakBot] (November 2022) Laterale Bewegungsaktivität durch Erkennung des zugehörigen Prozesses (über process_creation)

Diese Regel erkennt die Ausführung von Cobalt-Strike-Nutzlasten mit den rundll32.exe SetVolume-Befehlen. Die Erkennung unterstützt Übersetzungen auf 20 SIEM-, EDR- und XDR-Plattformen und ist an das MITRE ATT&CK®-Framework angepasst, das sich mit der Taktik Defense Evasion und der entsprechenden Signed Binary Proxy Execution (T1218) Technik befasst.

Verdächtige aggressive QakBot-Kampagnenausführung durch Erkennung der zugehörigen Befehle [Zielgerichtet auf US-Unternehmen] (via powershell)

Die obige Regel erkennt das bösartige Verhalten im Zusammenhang mit PowerShell, das im Verlauf der neuesten QakBot-Kampagne verwendet wird, um Informationen gegen Active Directory Domain Services mit der System.DirectoryServices.DirectorySearcher-Klasse abzufragen. Die Erkennung unterstützt Übersetzungen auf 13 SIEM-, EDR- und XDR-Plattformen und ist an das MITRE ATT&CK-Framework angepasst, das sich mit der Ausführungstaktik und den entsprechenden PowerShell (T1086) und Command and Scripting Interpreter (T1059) Techniken befasst.

Fähige Cybersecurity-Praktiker, die danach streben, ihre Detection Engineering- und Threat Hunting-Fähigkeiten zu erweitern, können sich unserer Threat Bounty Programm anschließen, um ihren eigenen Beitrag zum kollektiven Branchenwissen zu leisten. Die Teilnahme am Programm ermöglicht es Autoren von Erkennungsinhalten, ihre beruflichen Fähigkeiten zu monetarisieren, während sie helfen, eine sicherere digitale Zukunft aufzubauen. 

Um mit den sich schnell entwickelnden Black Basta Ransomware- und QakBot-Malware-Angriffen Schritt zu halten, können Sicherheitsteams die gesamte Sammlung relevanter Sigma-Regeln nutzen, die auf der Plattform von SOC Prime verfügbar sind, indem sie auf die unten stehenden Schaltflächen klicken.

QakBot-Erkennungen erkunden Black Basta-Erkennungen erkunden

Analyse der QakBot-Malware-Kampagne durch die Black Basta Ransomware-Gang

Die neueste Untersuchung von Cybereason zeigt, dass QakBot als Einstiegspunkt während der Black Basta-Angriffe auf US-Unternehmen fungiert. Der Angriff beginnt typischerweise mit einer Spam- oder Phishing-E-Mail, die eine bösartige Disk-Imagedatei enthält. Wenn geöffnet, löst die Datei die Ausführung von QakBot aus, gefolgt von der Abrufung der Cobalt-Strike-Nutzlast vom Remote-Server. 

Im nächsten Schritt führt die Malware Anmeldeinformationen-Erfassung und laterale Bewegungsaktivitäten durch, die darauf abzielen, so viele Endpunkte wie möglich mit den gesammelten Anmeldedaten zu kompromittieren. Schließlich wird die Black Basta Ransomware-Nutzlast ins Zielnetzwerk abgelegt. 

Bemerkenswert ist, dass bei mehreren der beobachteten Angriffe die Kampagnenbetreiber DNS-Dienste deaktivierten, um das Opfer aus dem Netzwerk auszuschließen und den Wiederherstellungsprozess nahezu unmöglich zu machen. 

Es ist nicht das erste Mal, dass Black Basta-Betreiber auf QakBot setzen um mit bösartigen Aktionen fortzufahren. Im Oktober 2022 wurde beobachtet, dass die Ransomware-Gang QakBot dazu einsetzt, das Brute Ratel C4 Framework einzusetzen, um Cobalt Strike abzulegen. Die neueste Serie von Cyberangriffen zeigt nur eine bedeutende Verschiebung in den QakBot-Operationen, die überarbeitet wurden, um Angriffsframeworks zu installieren und Zugang an verschiedene Bedrohungsakteure zu verkaufen. 

Mit einer schnell wachsenden Anzahl von Ransomware-Angriffen ist proaktive Erkennung entscheidend für die Stärkung der Cybersicherheitslage der Organisation. Holen Sie sich über 650 Sigma-Regeln, um aktuelle und aufkommende Ransomware-Angriffe zu identifizieren und den Gegnern immer einen Schritt voraus zu sein. Erhalten Sie mehr als 30 Regeln kostenlos oder erhalten Sie den gesamten Erkennungsstapel auf Abruf unter http://my.socprime.com/pricing.