Detecta Ataques de Ransomware ALPHA SPIDER: TTPs Utilizadas por los Operadores de ALPHV, tambiƩn conocidos como BlackCat RaaS
Tabla de contenidos:
El ransomware sigue siendo una de las principales amenazas para las organizaciones a nivel mundial, con un aumento constante en el volumen y la sofisticaciĆ³n de los ataques. Entre los actores clave en el Ć”mbito del ransomware, el grupo ALPHA SPIDER destaca al atribuirse una serie de recientes ataques de alto perfil dirigidos contra el procesador de software de pagos del sector salud de EE.UU., Change, y el gigante de la industria del juego MGM. Dado que ALPHA SPIDER representa una amenaza significativa debido a su gran presencia en el Ć”mbito cibernĆ©tico, el Departamento de Justicia de EE.UU. anunciĆ³ una operaciĆ³n de aplicaciĆ³n de la ley internacional destinada a incautar las operaciones de ALPHV (tambiĆ©n conocido como BlackCat) lo que fue seguido por un aviso detallado de CISA dentro de la iniciativa #StopRansomware.
Detecta ataques de ransomware ALPHA SPIDER (tambiƩn conocido como ALPHV, BlackCat)
DespuĆ©s de su primera apariciĆ³n a inicios de la dĆ©cada de 2020, ALPHA SPIDER se autodeclarĆ³ rĆ”pidamente como un nuevo lĆder en el ransomware como servicio (RaaS), atrayendo mucha atenciĆ³n debido a sus mĆŗltiples objetivos de alto perfil, capacidades maliciosas sofisticadas y ofertas generosas para los afiliados.
Para adelantarse a los potenciales ataques de ALPHV, los defensores cibernĆ©ticos requieren herramientas avanzadas de detecciĆ³n de amenazas y caza enriquecidas con algoritmos de detecciĆ³n curados que aborden las TTPs de los adversarios. La plataforma SOC Prime agrega un conjunto de reglas Sigma relevantes compatibles con 28 tecnologĆas SIEM, EDR, XDR y Data Lake para identificar actividad maliciosa asociada con ALPHV, tambiĆ©n conocido como BlackCat.
Solo pulsa el botĆ³n Explorar Detecciones a continuaciĆ³n e inmediatamente profundiza en la extensa pila de detecciĆ³n para identificar TTPs relacionadas con las Ćŗltimas campaƱas de ALPHA SPIDER. Todas las reglas estĆ”n mapeadas al marco MITRE ATT&CK v14.1 y enriquecidas con inteligencia de amenazas detallada.
Para agilizar la investigaciĆ³n de amenazas y mejorar las operaciones del SOC, los profesionales de seguridad pueden acceder a una colecciĆ³n mĆ”s amplia de reglas Sigma que aborden la actividad maliciosa relacionada buscando en SOC Prime por etiquetas āALPHVā y āBlackCatā.
AnƔlisis del ataque de ransomware Alphv/BlackCat
Los nefastos operadores del ransomware ALPHV (BlackCat, ALPHA SPIDER) han estado en el punto de mira en el Ć”mbito de la amenaza cibernĆ©tica desde finales del otoƱo de 2021, fijando su atenciĆ³n en una amplia gama de verticales industriales y enriqueciendo continuamente su kit de herramientas adversarias. Se cree que BlackCat es la prĆ³xima generaciĆ³n de las bandas de ransomware DarkSide or y BlackMatter, lo que indica un nivel sofisticado de experiencia y habilidades de sus afiliados. Durante el Ćŗltimo aƱo, se ha observado a los hackers de ALPHV empleando un conjunto de nuevas tĆ©cnicas adversarias y mĆ©todos innovadores como componentes de sus actividades de ransomware.
El RaaS de ALPHV destaca por estar escrito en el lenguaje de programaciĆ³n Rust y proporciona una variedad de capacidades destinadas a atraer a afiliados avanzados. Estas incluyen variantes de ransomware que apuntan a varios sistemas operativos, una variante altamente personalizable para la evasiĆ³n de detecciĆ³n, una base de datos searchable alojada en un dominio web claro, un sitio de filtraciones dedicado y la integraciĆ³n de un mezclador de Bitcoin en los paneles de afiliados. SegĆŗn la Ćŗltima investigaciĆ³n de CrowdStrike, los operadores de Alphv han aprovechado versiones de Linux de Cobalt Strike y SystemBC para llevar a cabo reconocimiento de servidores VMware ESXi antes de iniciar el despliegue de ransomware.
ALPHV/BlackCat es una pandilla de ransomware muy prolĆfica que se ha atribuido una serie de ataques de alto perfil, como aquellos contra el gigante del juego MGM Resorts y el proveedor de software de pagos para el sector salud Change Healthcare. El Ćŗltimo ataque realizado el mes pasado resultĆ³ en grandes interrupciones de servicio para las organizaciones de salud como las farmacias.
En la etapa inicial del ataque, los afiliados de ALPHV explotan un par de vulnerabilidades identificadas como CVE-2021-44529 y CVE-2021-40347 para obtener acceso inicial y persistencia dentro de la red objetivo. MĆ”s adelante, los adversarios emplean Nmap, la nefasta utilidad de escaneo de redes, para llevar a cabo operaciones de descubrimiento de redes, junto con scripts especĆficos de Nmap para realizar un escaneo de vulnerabilidades dirigido. TambiĆ©n se les ha observado intentando armarse de otra vulnerabilidad RCE rastreada como CVE-2021-21972 y profundizando en actividades adicionales de reconocimiento de red. AdemĆ”s, ALPHV abusĆ³ de la herramienta de respaldo Veeam tras su movimiento lateral inicial y aprovechĆ³ el script de PowerShell Veeam Credential Recovery para robar credenciales de usuario directamente de la base de datos Veeam.
Con el creciente volumen de ataques de ransomware dirigidos al sector salud, la OCR del Departamento de Salud y Servicios Humanos de EE.UU. publicĆ³ recientemente una carta abordando el incidente de ciberseguridad que afecta a Change Healthcare, junto con numerosas otras entidades del sector salud, que tiene como objetivo reforzar la conciencia sobre ciberseguridad en este sector industrial altamente vulnerable a los ataques de ransomware. Durante la Ćŗltima mitad de la dĆ©cada, ha habido un aumento del 264% en ataques de ransomware reportados a la OCR, lo que alimenta la necesidad de fortalecer las capacidades defensivas proactivas dentro de las organizaciones de salud de EE.UU.
Con un nĆŗmero creciente de tendencias y ataques mĆ”s sofisticados, el ransomware ha sido el principal desafĆo para la mayorĆa de las organizaciones desde 2021, incluidas las grandes empresas. Aprovechando Attack Detective, la detecciĆ³n de ataques de ransomware y la identificaciĆ³n oportuna de potenciales intrusiones se estĆ” volviendo mĆ”s rĆ”pida, fĆ”cil y eficiente. ConfĆe en el sistema que garantiza visibilidad integral de su superficie de ataque y ofrece algoritmos de detecciĆ³n basados en comportamiento o IOCs adaptados a su soluciĆ³n de seguridad en uso sin mover sus datos, respaldado por ATT&CK actuando como un algoritmo de correlaciĆ³n central.
Ā