Ataques de Ransomware BlackCat: Los Actores de Amenazas Utilizan Balizas de Brute Ratel y Cobalt Strike para Intrusiones Avanzadas

Investigadores de ciberseguridad han revelado una ola de nueva actividad del notorio grupo de ransomware BlackCat desplegando binarios de malware personalizados para intrusiones más sofisticadas. En los últimos ataques, los actores de amenaza han estado utilizando balizas de Cobalt Strike y una nueva herramienta de prueba de penetración denominada Brute Ratel, instalando esta última como un servicio de Windows en las máquinas comprometidas.

Detectar ataques de ransomware BlackCat

Para mantenerse al tanto del panorama de amenazas en constante cambio y resistir eficazmente los ataques que están creciendo en volumen y sofisticación, las organizaciones globales buscan formas de mejorar sus capacidades de defensa cibernética. Con el ransomware manteniéndose como una tendencia en alza en el panorama de amenazas cibernéticas en 2021-2022, los profesionales de ciberseguridad se esfuerzan por protegerse contra amenazas relacionadas. La plataforma Detection as Code de SOC Prime ha lanzado recientemente una nueva regla Sigma para detectar la herramienta maliciosa Brute Ratel desplegada en las últimas operaciones de ransomware BlackCat. Regístrese o inicie sesión en la plataforma de SOC Prime para acceder a la detección escrita por nuestro prolífico desarrollador de Threat Bounty Kyaw Pyiyt Htet (Mik0yan):

Posible Creación de Pipe Nombrado Brute Ratel en Operación de Ransomware BlackCat (vía Pipe_Event)

Defensores cibernéticos experimentados y prometedores con un agudo sentido para la ciberseguridad y ambiciones de autoavance son bienvenidos a unirse a nuestro Programa de Threat Bounty para crear algoritmos de detección, compartirlos con colegas de la industria, ganar reconocimiento y obtener recompensas económicas por sus contribuciones.

La regla Sigma anterior puede aplicarse en 18 soluciones SIEM, EDR y XDR soportadas por la plataforma de SOC Prime. Para asegurar una mayor visibilidad de las amenazas relacionadas, la detección está alineada con el marco MITRE ATT&CK® abordando la técnica de Inyección de Procesos (T1055) del repertorio de tácticas de Evasión de Defensa. Los profesionales de ciberseguridad también pueden buscar instantáneamente amenazas asociadas con las operaciones de ransomware BlackCat usando la regla Sigma mencionada anteriormente a través del módulo Quick Hunt. 

La plataforma de SOC Prime cura la lista completa de algoritmos de detección para ayudar a las organizaciones a identificar a tiempo la actividad del ransomware BlackCat en su entorno. Para obtener acceso al kit de herramientas dedicado, haga clic en el botón Detectar & Cazar . Alternativamente, los Cazadores de Amenazas, Especialistas en Inteligencia de Amenazas Cibernéticas y otros defensores cibernéticos pueden explorar instantáneamente el contexto completo de amenazas detrás de las operaciones de ransomware BlackCat incluso sin registro. Haga clic en el botón Explorar Contexto de Amenazaspara obtener información contextual perspicaz, incluidas referencias MITRE ATT&CK, enlaces CTI y binarios ejecutables de Windows vinculados a las reglas Sigma que acompañan su búsqueda de amenazas relacionadas.

botón Detectar & Cazar Explorar Contexto de Amenazas

Análisis de BlackCat: Las Últimas Actualizaciones

Después de que surgió por primera vez en noviembre de 2021, BlackCat (también conocido como Alphv) se autoproclamó rápidamente como un nuevo líder de ransomware como servicio (RaaS), atrayendo mucha atención debido a su inusual lenguaje de codificación Rust, sofisticadas capacidades maliciosas y generosa oferta para que los afiliados mantengan el 90% de los pagos de rescate. Los investigadores de seguridad creen que BlackCat podría ser el sucesor de los grupos de ransomware DarkSide or BlackMatter , sugiriendo un conjunto de habilidades complejas de sus operadores.

La última investigación de Sophos revela que los mantenedores de BlackCat siguen mejorando la cepa de malware con nuevos trucos. Los actores de amenaza generalmente dependen de firewalls o servicios VPN sin parches o desactualizados para obtener un primer acceso a las redes expuestas o capturar credenciales de VPN para iniciar sesión como usuarios autorizados.

Tras la infección, se aprovechan diversas herramientas de código abierto y comercialmente disponibles para mejorar las capacidades de acceso remoto de BlackCat. Particularmente, el análisis de las últimas intrusiones muestra que los actores de amenaza utilizaron TeamViewer, nGrok, Cobalt Strike y Brute Ratel para garantizar rutas de acceso alternativas. Según Sophos, la suite de pentesting Brute Ratel, con características similares a Cobalt Strike, es la última adquisición para mejorar las capacidades post-explotación mientras se mantiene bajo el radar.

Mientras agrega notoriedad a BlackCat, los operadores de ransomware se vuelven más audaces exigiendo rescates más altos para sus víctimas. La banda generalmente apunta a objetivos de alto perfil, incluidos OilTanking GmbH, Swissport, Florida International University y la Universidad de Carolina del Norte A&T. Las demandas de rescate han crecido con el tiempo, alcanzando ahora $2.5 millones, con un posible descuento del 50% en caso de un pago rápido.

Con un número creciente de tendencias y más intrusiones sofisticadas, el ransomware se considera el mayor desafío para la mayoría de las organizaciones en 2021, incluidas las grandes empresas. Regístrese en la plataforma Detection as Code de SOC Prime y acceda a la colección de más de 200,000 algoritmos de detección para identificar y defenderse proactivamente contra amenazas emergentes.