Detección de Ransomware BlackCat: Mala Suerte Escrita en Rust
Tabla de contenidos:
Los adversarios están buscando nuevas formas de intensificar sus ataques, esta vez trayendo un nuevo ransomware escrito en Rust para atacar organizaciones en EE.UU., Europa, Australia, India y Filipinas. Los desarrolladores del ransomware ALPHV BlackCat apuntan a sistemas operativos Windows y Linux a través de marcos de trabajo/herramientas de terceros (por ejemplo, Cobalt Strike) o explotando aplicaciones vulnerables.
La banda BlackCat está reclutando activamente a hackers en foros como RAMP, XSS y Exploit, atrayéndolos con una impresionante parte de los pagos de rescate.
Rutina de Ataque del Ransomware BlackCat
Según el extenso análisis de Palo Alto, este ransomware destaca por su adaptabilidad, permitiendo a los atacantes personalizarlo para cada objetivo y así aumentar el daño. Los actores de la amenaza BlackCat utilizan varias tácticas y rutinas de encriptación. El ransomware se puede configurar para usar cuatro diferentes modos de encriptación:
- Encriptación completa de archivo
- Rápida (solo se encriptan los primeros N megabytes)
- DotPattern (N megabytes se encriptan por pasos de M)
- Auto (el procesamiento de archivos está en el armario)
Los datos actuales indican que los actores de la amenaza que utilizan BlackCat, emplean múltiples técnicas de extorsión, roban datos de las víctimas en esquemas de doble y triple extorsión, amenazan con filtrar información sensible y lanzan ataques de denegación de servicio distribuido (DDoS).
El ransomware terminará procesos y servicios que podrían prevenir la encriptación en su proceso de configuración. Como consecuencia, apagará la operación de máquinas virtuales y VMs de ESXi, y eliminará instantáneas de ESXi para obstruir o prevenir la recuperación. BlackCat utiliza una extensión de nombre aleatorio en cada dispositivo encriptado, que se añade a todos los archivos e incluye en la nota de rescate. Exige a los usuarios infectados conectarse al portal de pagos de los atacantes vía TOR, con demandas de rescate en Bitcoin o Monero.
Ataques Reportados Similares a BlackCat
Estamos presenciando una creciente tendencia de hackers ampliando su repertorio de lenguajes utilizados para crear malware. Hay un número creciente de casos que usan malware escrito en Dlang, Go, Nim y Rust, para encontrar nuevas formas de eludir las protecciones de seguridad, evadir el análisis y alcanzar mayores probabilidades de éxito en la evasión. Etiquetado como “la nueva generación de ransomware”, BlackCat muestra elementos de comportamiento similares a los de un sucesor de DarkSide, ransomware BlackMatter . A pesar de las numerosas similitudes, el ransomware ALPHV BlackCat incluye características innovadoras que lo destacan de los programas RaaS dirigidos a brechas corporativas. Los operadores de BlackCat han aprendido de los errores de sus predecesores RaaS, empleando nuevos vectores de infección, nuevas opciones de ejecución y particularmente agresivas campañas de nombramiento y desprestigio.
Mitigación de BlackCat
ALPHV apareció por primera vez a mediados de noviembre de 2021 y ha estado buscando activamente a sus víctimas a través de industrias. Desafortunadamente, con bastante éxito. Según los informes, a las víctimas se les pide pagar hasta 14 millones de dólares para recuperar el control de sus archivos.
Para proteger la infraestructura de su empresa de posibles ataques de BlackCat, puede descargar un conjunto de reglas Sigma gratuitas desarrolladas por nuestros experimentados desarrolladores de Threat Bounty Emir Erdogan and Kaan Yeniyol, quienes nunca se pierden un truco.
Detección de Ransomware BlackCat (vía línea de comandos)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro y AWS OpenSearch.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando las tácticas de Comando y Control, Ejecución, Impacto y Exfiltración con Protocolo de Capa de Aplicación (T1071), Intérprete de Comandos y Scripting (T1059), Datos Encriptados para Impacto (T1486) y Límites de Tamaño de Transferencia de Datos (T1030) como las técnicas principales.
Ejecución de Ransomware BlackCat y Reconocimiento UUID
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Open Distro y AWS OpenSearch.
La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando las tácticas de Ejecución, Evasión de Defensa y Descubrimiento con Intérprete de Comandos y Scripting (T1059), Ejecución de Comando Indirecto (T1202) y Descubrimiento de Servicios del Sistema (T1007) como las técnicas principales.
La lista completa de detecciones en el repositorio del Marketplace de Detección de Amenazas de la plataforma SOC Prime está disponible aquí.
Regístrese gratis en la plataforma Detection as Code de SOC Prime para detectar las últimas amenazas dentro de su entorno de seguridad, mejorar la cobertura de fuentes de registro y MITRE ATT&CK, y defenderse de los ataques más fácil, rápido y eficientemente. Los expertos en ciberseguridad son más que bienvenidos a unirse al programa Threat Bounty para compartir reglas Sigma curadas con la comunidad y obtener recompensas recurrentes.
