Detección de Ataques de Ransomware Black Basta: Campañas Maliciosas Recientes Usando Nuevas Herramientas Personalizadas Atribuidas al Grupo FIN7
Tabla de contenidos:
The grupo de ransomware Black Basta emergió en el ámbito de las amenazas cibernéticas en abril de 2022. Aunque el colectivo de hackers puede considerarse relativamente nuevo en el dominio ofensivo cibernético, ya han ganado una reputación notoria por evolucionar rápidamente su conjunto de herramientas de adversarios y adaptar herramientas más sofisticadas. Los investigadores de ciberseguridad vinculan la actividad más reciente de los operadores de ransomware Black Basta al grupo de hackers FIN7 vinculado a Rusia basado en el uso de nuevas herramientas de deterioro de defensa que pertenecen a las capacidades ofensivas de este último.
Detectar los últimos ataques de Black Basta
Con el relativamente nuevo grupo de ransomware Black Basta avanzando en su arsenal y enriqueciéndolo con herramientas y técnicas personalizadas novedosas, los expertos en ciberseguridad deben estar equipados oportunamente con capacidades defensivas relevantes para frustrar ataques de ransomware de tal escala e impacto. La plataforma Detection as Code de SOC Prime ha lanzado recientemente una nueva regla Sigma para la detección de ataques de ransomware Black Basta, creada por nuestro prolífico desarrollador de Threat Bounty Kyaw Pyiyt Htet (Mik0yan):
Esta regla Sigma detecta las claves de ejecución persistentes del registro utilizadas por los operadores de ransomware Black Basta en los últimos ataques que tienen vínculos con el colectivo de hackers FIN7. La detección se puede utilizar en 22 tecnologías SIEM, EDR y XDR, y está alineada con el marco MITRE ATT&CK® abordando la táctica de Persistencia y la técnica correspondiente de Ejecución de Arranque o Inicio de Sesión (T1547).
La industria de la ciberseguridad conecta a los cazadores de amenazas e ingenieros de detección que están ansiosos por ayudarse mutuamente y obtener una ventaja en la lucha interminable contra los adversarios. La iniciativa de crowdsourcing de SOC Prime ofrece una brillante oportunidad tanto a las mentes aspirantes como a los expertos que batallan arduamente para ayudar a sus pares de la industria y ganar una recompensa por su contribución. Únete al Programa de Recompensas por Amenazas para ganar pagos recurrentes mientras dominas continuamente tus habilidades en Sigma y ATT&CK y haces una diferencia en el campo.
¿Buscas formas de defenderte proactivamente contra cualquier ataque de ransomware Black Basta? Haz clic en el botón Explorar Detecciones y alcanza instantáneamente todas las reglas Sigma para amenazas actuales y emergentes relacionadas con los operadores de ransomware Black Basta. Profundiza en las referencias de MITRE ATT&CK, enlaces CTI, binarios relevantes, mitigaciones y más contexto de amenazas cibernéticas.
Descripción de Black Basta: Ataques de ransomware vinculados a FIN7
Los actores de Black Basta han estado conquistando la arena de amenazas cibernéticas durante más de medio año, sin embargo, sus afiliaciones con otros mantenedores de ransomware todavía han permanecido en cuestión para los defensores cibernéticos. El grupo ha estado evolucionando rápidamente sus capacidades ofensivas experimentando con una amplia gama de TTP. Black Basta utiliza técnicas de escalamiento de privilegios explotando un conjunto de vulnerabilidades conocidas, incluido PrintNightmare and ZeroLogon, tiene múltiples RAT en su conjunto de herramientas ofensivas y aplica un conjunto de métodos de adversarios para el movimiento lateral.
A principios de junio de 2022, los investigadores de ciberseguridad encontraron rastros de su colaboración con QBot también conocido como Qakbot para aplicar la infame puerta trasera para el movimiento lateral y el despliegue posterior de balizas Cobalt Strike en las máquinas comprometidas.
Los investigadores de SentinelLabs han analizado recientemente las TTP de los operadores de ransomware Black Basta y han descubierto nuevas herramientas y técnicas de adversarios que pueden atribuirse a un colectivo de hackers respaldado por Rusia rastreado como FIN7 también conocido como grupo Carbanak basado en el nombre del malware que aplicaron en sus campañas maliciosas.
El aprovechamiento de una nueva herramienta de deterioro de defensa desarrollada por actores de amenazas FIN7 ha permitido a los investigadores de ciberseguridad establecer una conexión entre dos colectivos de hackers. Además, el uso de un conjunto de herramientas personalizadas y muestras maliciosas en las últimas operaciones de ransomware Black Basta, incluyendo WindefCheck.exe y la puerta trasera BIRDDOG también conocida como SocksBot que pertenecen al kit de herramientas de adversarios FIN7 revela más vínculos entre adversarios.
Con un número rápidamente creciente de ataques de ransomware, la detección proactiva es clave para fortalecer la postura de ciberseguridad de la organización. Obtén más de 650 reglas Sigma para detectar ataques de ransomware actuales y emergentes y mantén siempre un paso adelante de los adversarios. Accede a más de 30 reglas gratuitamente o gana todo el conjunto de detección a demanda en http://my.socprime.com/pricing.
