Detección del Ransomware BlueSky: Objetivos en Hosts de Windows y Aprovecha la Multitarea para un Cifrado Más Rápido
Tabla de contenidos:
El ransomware BlueSky representa una familia de malware en rápida evolución que incluye capacidades anti-análisis sofisticadas y mejora constantemente sus técnicas de evasión. BlueSky ransomware apunta a hosts de Windows y se basa en una técnica de multihilos para un cifrado de archivos más rápido. Los investigadores de ciberseguridad atribuyen los patrones de ransomware revelados a la actividad del adversario del infame grupo de ransomware Conti, que ha sido durante mucho tiempo una grave amenaza para las organizaciones globales. Notablemente, la estructura de código multihilos de las cepas maliciosas de BlueSky guarda semejanza con la tercera versión de Conti Gang ransomware, que aplica una rutina de cifrado mejorada basada en técnicas de multihilos y evasión avanzada.
Detectar Ransomware BlueSky
Para asegurar la protección oportuna contra las cepas de ransomware BlueSky en el entorno de la organización, la plataforma de SOC Prime ha lanzado recientemente una nueva regla Sigma desarrollada por nuestro entusiasta colaborador de contenido de Threat Bounty Kyaw Pyiyt Htet (Mik0yan). Siga el enlace a continuación para acceder a la regla Sigma disponible directamente desde el Motor de Búsqueda de Amenazas Cibernéticas de SOC Prime, junto con metadatos contextuales completos:
Esta consulta de caza de amenazas basada en Sigma detecta las claves de registro asociadas del ransomware BlueSky. La detección es convertible a 22 soluciones SIEM, EDR y XDR admitidas por la plataforma de SOC Prime y está alineada con el marco MITRE ATT&CK® abordando las tácticas de Persistencia y Evasión de Defensa junto con la correspondiente Ejecución de Autoarranque de Arranque o Inicio de Sesión (T1547) y la técnica de Modificación del Registro (T1112).
Utilizando el módulo Quick Hunt de SOC Prime, los profesionales de ciberseguridad pueden buscar instantáneamente la actividad del adversario asociada con el ransomware BlueSky ejecutando la consulta mencionada anteriormente en su entorno SIEM o EDR.
¿Eres un ingeniero de detección experimentado deseoso de contribuir a la defensa cibernética colaborativa? Únete al Programa Threat Bounty de SOC Prime, envía tus propias reglas Sigma, publícalas en nuestra plataforma Detection as Code y obtén recompensas recurrentes mientras haces del mundo un lugar más seguro.
Para mantenerse al tanto de los ataques de ransomware en rápida evolución, los equipos de seguridad pueden aprovechar toda la colección de reglas Sigma relevantes disponibles en la plataforma de SOC Prime haciendo clic en el botón Detectar y Cazar a continuación. Los usuarios no registrados de SOC Prime también pueden beneficiarse de nuestro Motor de Búsqueda de Amenazas Cibernéticas y explorar la información contextual completa relacionada con el ransomware, incluidas las referencias de MITRE ATT&CK y CTI y más metadatos relevantes haciendo clic en el botón Explorar Contexto de Amenazas a continuación.
Detectar y Cazar Explorar Contexto de Amenazas
Análisis del Ransomware BlueSky
A principios de agosto de 2022, expertos en seguridad descubrieron una nueva familia de ransomware que representa una amenaza creciente para las organizaciones a nivel mundial. Apodado BlueSky, la nueva amenaza se dirige principalmente a hosts de Windows y aprovecha una técnica de multihilos para un cifrado de datos más rápido. Además, el malware aplica una variedad de técnicas avanzadas de evasión y ofuscación para pasar desapercibido y asegurar altas tasas de infección.
Según la investigación de CloudSEK, la cadena de ataque comienza con un dropper PowerShell que descarga la carga útil de BlueSky desde hxxps://kmsauto[.]us/someone/start.ps1. Este dominio falso registrado en septiembre de 2020 se hace pasar por una antigua herramienta de activación denominada KMSAuto Net Activator. Con un alto nivel de confianza, se cree que es operado por actores de amenazas de origen ruso.
Notablemente, antes de soltar la carga final de BlueSky, el dropper de PowerShell realiza una escalada de privilegios local ya sea con la ayuda de la herramienta JuicyPotato o explotando las vulnerabilidades CVE-2020-0796 y CVE-2021-1732. Luego, la carga final de ransomware aterriza en el host de la víctima como un archivo javaw.exe, intentando hacerse pasar por una aplicación legítima de Windows.
En la siguiente etapa del ataque, BlueSky cifra los archivos de los usuarios añadiendo la extensión .bluesky . El ransomware utiliza un enfoque de multihilos para asegurar un proceso de cifrado ultrarrápido. Esta arquitectura multihilos comparte similitudes con la cepa Conti v3, sin embargo, BlueSky aplica diferentes algoritmos de cifrado. La investigación de Unit42 revela que el ransomware BlueSky aprovecha ChaCha20 para cifrar archivos y Curve25519 para claves, lo cual se asemeja a la rutina de ransomware Babuk.
Además, BlueSky ransomware emplea sofisticados trucos de evasión. Notablemente, los operadores de ransomware codifican y cifran muestras maliciosas, utilizan entrega y carga de cargas útiles en múltiples etapas y adoptan técnicas de ofuscación, tales como hashing de API.
A medida que los ataques de ransomware crecen en alcance y escala, los investigadores de seguridad requieren herramientas innovadoras para detectar amenazas emergentes y estar un paso adelante de los atacantes. Únete a la plataforma Detection as Code de SOC Prime para detectar los últimos ataques con la colección más grande de reglas Sigma en el mundo, mejorar la fuente de registros y la cobertura de MITRE ATT&CK, y contribuir activamente a mejorar las capacidades de defensa cibernética de tu organización. Los cazadores de amenazas experimentados y los ingenieros de detección son más que bienvenidos a unirse a Programa Threat Bounty de SOC Prime – la iniciativa de crowdsourcing de SOC Prime, para compartir sus algoritmos de detección con la comunidad cibernética, contribuir a la defensa cibernética colaborativa y obtener pagos repetidos por su contribución.
