Detección del Ransomware Black Basta: Nueva Colaboración con QBot

QBot, también conocido como Qakbot, ha existido desde 2007, mientras que su compañero, un grupo de actores de amenaza denominado Black Basta, surgió por primera vez hace solo unos meses, en abril de 2022. Según las últimas perspectivas sobre una asociación entre Qakbot y Black Basta, este último usa este ladrón de información modular para desplazarse por el sistema comprometido y mantener la persistencia, utilizando el movimiento lateral como su táctica principal en esta campaña. La evidencia indica que el actor de amenaza desplegó to travel through the compromised system and maintain persistence, using lateral movement as their core tactic in this campaign. Evidence indicates that the threat actor deployed balizas de Cobalt Strike en las máquinas víctimas.

Detectar Ransomware Black Basta

Para detectar la actividad maliciosa de Black Basta que podría comprometer su red, utilice el siguiente conjunto de reglas Sigma disponibles en la Plataforma Detection as Code de SOC Prime:

Reglas Sigma para detectar ransomware Black Basta

Los usuarios no registrados pueden explorar la colección de reglas Sigma disponibles a través del Motor de Búsqueda de Amenazas Cibernéticas. Presione el botón Drill Down to Search Engine para acceder a un centro único de contenido SOC gratuito.

Los profesionales de seguridad registrados aprovechan al máximo el potencial de la plataforma más grande y avanzada del mundo para la defensa cibernética colaborativa. Presione el botón Ver en la Plataforma SOC Prime para acceder a una colección exhaustiva de las reglas más actualizadas para detectar la infiltración de ransomware.

Ver en la Plataforma SOC Prime botón Drill Down to Search Engine

Análisis del Ransomware Black Basta

Un prolífico grupo de ransomware conocido bajo el seudónimo Black Basta demuestra un afán por conquistar nuevos horizontes en el terreno de la ofensiva cibernética, adaptando nuevas herramientas de malware y técnicas de hackeo. A pesar de ser un novato en el campo de los ataques de ransomware, ya se han hecho un nombre en crímenes de alto valor, lanzando ataques de doble extorsión a nivel mundial.

Los investigadores del NCC Group informaron de una reciente colaboración de Black Basta con QBot. El troyano bancario, a menudo referido como un malware navaja suiza por su impresionante versatilidad en operaciones maliciosas, es frecuentemente utilizado como dropper en ataques de ransomware. Los adversarios de Black Basta lo utilizaron principalmente por su capacidad de moverse lateralmente dentro de un entorno comprometido con el objetivo de lanzar los ejecutables de ransomware en todos los hosts dentro de una red comprometida. Los datos actuales indican que en la última campaña, los adversarios matan los procesos de Windows Defender en los dispositivos comprometidos.

¿Deseoso de aprender más sobre cómo mejorar sus contramedidas de seguridad? Únase a la Plataforma SOC Prime para desbloquear el acceso al mayor conjunto de contenido de detección creado por líderes de la industria y aumentar la eficiencia en su ecosistema de seguridad. SOC Prime, con sede en Boston, EE. UU., está impulsada por un equipo internacional de expertos experimentados dedicados a habilitar la defensa cibernética colaborativa.