Detección de Ransomware BlackByte: Una Nueva Llamada de Atención
Tabla de contenidos:
La Oficina Federal de Investigaciones (FBI) y el Servicio Secreto de EE.UU. (USSS) emitieron un aviso conjunto de ciberseguridad en relación con las actividades de la banda BlackByte Ransomware-as-a-Service (RaaS). El ransomware BlackByte ha sido utilizado contra empresas ubicadas en los EE. UU. como los principales objetivos. Los mayores costos recaen fuertemente en los sectores de infraestructura crítica, tales como instalaciones estatales, servicios financieros, alimentos y agricultura.
Mitigación del Ransomware BlackByte
Según los datos actuales, los atacantes supuestamente obtuvieron acceso a los entornos de las víctimas aprovechando una falla en Microsoft Exchange Server. Para identificar comportamientos asociados con el ransomware BlackByte, como intentos de modificar registros para privilegios elevados, utiliza el siguiente contenido de detección de amenazas:
Comportamiento del Ransomware BlackByte – Feb 2022 (vía creación de procesos)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Impacto con Datos Cifrados para Impacto (T1486) como la técnica principal.
El Ransomware BlackByte Modifica Registros para Elevar Privilegios
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la táctica de Evasión de Defensa con Modificar Registro (T1112) como la técnica principal.
Las reglas son proporcionadas por nuestros atentos desarrolladores de Threat Bounty Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, manteniendo un ojo atento a las amenazas emergentes.
La lista completa de detecciones en el repositorio del Marketplace de Detección de Amenazas de la plataforma SOC Prime está disponible aquí. ¿Deseas crear tus propias reglas Sigma? Únete a nuestro programa Threat Bounty y obtén recompensas por tu valiosa contribución.
Ver Detecciones Unirse a Threat Bounty
Ataques de Ransomware BlackByte
La amenaza apareció por primera vez en julio de 2021, reapareciendo cada dos meses con múltiples ataques contra EE. UU., Europa y Australia. Actualmente, se sabe que BlackByte RaaS ha estado aprovechando una falla en Microsoft Exchange Server para obtener acceso inicial a las redes de las víctimas, según el aviso conjunto.
del FBI y el USSS. Una vez que se vulnera el entorno, los adversarios trabajan para obtener una presencia persistente en el sistema infectado y elevar los privilegios antes de exfiltrar y cifrar archivos. Los operadores del ransomware BlackByte solo han cifrado parcialmente los datos en ciertos casos. La recuperación de datos es factible en circunstancias en las que la descifrado no es posible. El ransomware BlackByte ejecuta ejecutables desde c:windowssystem32 y C:Windows. La novedad de la última versión de este ransomware es que no requiere comunicación con direcciones IP externas para llevar a cabo un cifrado exitoso.
Una nota instando a una víctima a pagar un rescate a través de la red Tor es una parte indispensable del ataque. En el último informe, el FBI aconseja a las víctimas de ransomware no pagar, ya que hacerlo no garantiza la recuperación de datos y, en cambio, alienta a los piratas informáticos a lanzar más ataques. Se aconseja a las víctimas que informen sobre las vulneraciones para que los operadores de ransomware puedan ser rastreados.
A riesgo de sonar repetitivo, no hace falta mencionar que la prevención y detección de amenazas es primordial. Regístrate gratis en la plataforma Detcción como Código de SOC Prime para que la detección de amenazas sea más fácil, rápida y eficiente con las mejores prácticas de la industria y la experiencia compartida. La plataforma también permite a los profesionales de SOC compartir contenido de detección de su creación, participar en iniciativas de primer nivel y monetizar su aporte.