Detección de Ataques BlackCat AKA ALPHV: Los Hackers Abusan de la Publicidad Maliciosa para Propagar Malware y Aprovechan SpyBoy Terminator para Obstaculizar la Protección de Seguridad
Tabla de contenidos:
Los investigadores de ciberseguridad han descubierto trazas de una nueva actividad maliciosa atribuida a la nefasta BlackCat también conocida como la banda de ransomware ALPHV. La campaña adversaria implica la distribución de malware a través de páginas web clonadas de compañías legítimas, incluyendo la página web de un popular servicio de transferencia de archivos WinSCP. También se observa a BlackCat usando SpyBoy Terminator para sus propósitos ofensivos de obstaculizar la protección contra malware.
Detección de la actividad de BlackCat propagando malware a través de páginas web clonadas
Con los operadores de ransomware BlackCat añadiendo continuamente nuevas características nefastas al conjunto de herramientas y buscando métodos de ataque efectivos, los defensores cibernéticos necesitan una fuente confiable de algoritmos de detección e inteligencia de amenazas para resistir proactivamente posibles intrusiones. Para detectar la actividad maliciosa asociada con la última campaña de BlackCat (ALPHV), descargue un conjunto de reglas Sigma dedicadas disponibles en la SOC Prime Platform.
Todos los algoritmos de detección son compatibles con 28 tecnologías SIEM, EDR y XDR y están alineados con el marco de MITRE ATT&CK v12 para agilizar los procedimientos de caza de amenazas.
Presione el botón Explorar Detecciones para explorar un lote de reglas Sigma seleccionadas destinadas a la detección de ataques de ransomware BlackCat. Todas las reglas vienen con metadatos ricos, incluyendo referencias ATT&CK y CTI. Para ayudar a los profesionales de la seguridad durante la búsqueda de contenido, SOC Prime admite filtros por etiquetas “BlackCat,” “ALPHV,” “SpyBoy” basadas en los títulos de las muestras de malware utilizadas en el transcurso de la campaña destacada.
El uso de Malvertising por parte de BlackCat como vector de entrada: Nuevo análisis de ataque
El notorio afiliados de ransomware ALPHV BlackCat han captado una atención significativa en el ámbito de las amenazas cibernéticas desde mediados de noviembre de 2021 al dirigir sus ataques a una variedad de sectores industriales en todo el mundo y experimentar con múltiples TTPs y herramientas ofensivas.
Los investigadores de Trend Micro han emitido un informe destacando la reciente actividad de la banda BlackCat. En la última campaña, los distribuidores de malware aprovechan una técnica de malvertising para propagar cepas maliciosas a través de páginas web clonadas de la aplicación de código abierto para Windows WinSCP. Esta técnica de hacking implica la difusión de anuncios maliciosos destinados a atraer a usuarios comprometidos a descargar ciertos tipos de malware.
Se observó a los hackers de BlackCat robando credenciales para realizar accesos no autorizados a las redes objetivo y acceder al servidor de respaldo. También aprovecharon las utilidades de gestión de acceso remoto para establecer y mantener la persistencia en el sistema comprometido y aplicaron SpyBot Terminator para eludir la protección EDR y antivirus.
La cadena de infección se dispara al buscar la palabra clave “WinSCP Download” a través del motor de búsqueda Bing con un anuncio malicioso mostrado al usuario objetivo y conduciendo al sitio web fraudulento. Al seguir el enlace, el usuario será redirigido a una página web clonada del servicio legítimo WinSCP. Al hacer clic para descargar un archivo ISO disfrazado como un instalador de aplicación legítimo, este último propaga la infección a través de dos archivos maliciosos, setup.exe y un archivo DLL de carga diferida.
BlackCat también aplicó un conjunto de otras herramientas adversarias para descubrir el entorno comprometido, incluyendo AdFind, que puede ser utilizado para recopilar información de los entornos de Active Directory (AD), escalamiento de privilegios y robo de credenciales. La banda también utilizó comandos de PowerShell para recopilar datos de usuarios y almacenarlos en el archivo CSV. Entre otras herramientas, aprovecharon un conjunto de utilidades de línea de comandos, como AccessChk64 y findstr, y scripts de PowerShell. Para obtener credenciales de administrador y escalar privilegios, BlackCat aplicó scripts maliciosos de Python, mientras que herramientas como PsExec, BitsAdmin y curl fueron utilizadas para descargar otras herramientas y moverse lateralmente a través del entorno comprometido.
Aprovechando un conocido truco de malvertising, los operadores de ransomware BlackCat propagaron exitosamente la infección a través de un sitio web dudoso que se hace pasar por instaladores de WinSCP. Confíe en SOC Prime Platform para estar completamente equipado con contenido de detección relevante contra cualquier TTP utilizado en ataques cibernéticos en curso. Alcanza los últimos algoritmos de detección de comportamiento listos para desplegar y explora el contexto relevante sobre cualquier ataque o amenaza cibernética, incluyendo zero-days, referencias CTI y ATT&CK, y herramientas Red Team. Valida el paquete de detección respaldado por una auditoría automática de datos ATT&CK de solo lectura, identifica puntos ciegos y abórdalos oportunamente para asegurar una visibilidad completa de amenazas basada en los registros específicos de la organización. Simplifica las tareas ad hoc con autocompletar de Sigma y ATT&CK, automatiza la traducción de consultas multiplataforma y explora el contexto relevante de amenazas cibernéticas desde ChatGPT y la comunidad global de defensores cibernéticos para ahorrar segundos en tus operaciones SOC.
