Detección de la campaña de malware QakBot que conduce a infecciones de ransomware Black Basta

El ransomware es una amenaza número uno que representa un peligro significativo para los defensores de seguridad en todo el mundo, con la tendencia de ataques creciendo constantemente a lo largo de 2021-2022. Recientemente, expertos en seguridad revelaron una masiva campaña de malware QakBot que apunta cada vez más a proveedores con sede en EE.UU. para distribuir el ransomware Black Basta. 

Durante la última década de noviembre de 2022, al menos 10 empresas en Estados Unidos han sido víctimas de una serie de ataques agresivos. En todos los casos, QakBot (también conocido como QBot o Pinkslipbot) actúa como un punto de entrada inicial para los operadores de Black Basta, que dependen de la cepa maliciosa para mantener la persistencia a través de la infraestructura objetivo. 

Detectar infecciones de ransomware Black Basta usando malware QakBot

Con el relativamente novedoso anillo de RaaS Black Basta avanzando su arsenal y enriqueciéndolo con nuevas herramientas y técnicas personalizadas, los expertos en ciberseguridad deben estar equipados oportunamente con capacidades defensivas relevantes para frenar ataques de ransomware de tal escala e impacto. La plataforma Detection as Code de SOC Prime agrega un conjunto de reglas Sigma por nuestros desarrolladores expertos en Threat Bounty Osman Demir and Zaw Min Htun para detectar el ransomware Black Basta que depende de QakBot para la infección. 

Posible ataque de Black-Basta [QakBot] (noviembre de 2022) actividad de movimiento lateral mediante detección del proceso asociado (vía process_creation)

Esta regla detecta la ejecución de la carga útil de Cobalt Strike con los comandos SetVolume de rundll32.exe. La detección soporta traducciones a 20 plataformas SIEM, EDR & XDR y está alineada con el marco MITRE ATT&CK® abordando la táctica de evasión de defensa con la correspondiente técnica de ejecución por proxy de binario firmado (T1218).

Ejecución sospechosa de campaña agresiva de QakBot mediante detección de comandos asociados [dirigida a empresas de EE.UU.] (vía powershell)

La regla anterior detecta el comportamiento malicioso asociado con PowerShell utilizado en el curso de la última campaña de QakBot para consultar información contra los servicios de dominio de Active Directory con la clase System.DirectoryServices.DirectorySearcher. La detección soporta traducciones a 13 plataformas SIEM, EDR & XDR y está alineada con el marco MITRE ATT&CK abordando la táctica de ejecución con las técnicas correspondientes PowerShell (T1086) y el intérprete de comandos y scripts (T1059).

Profesionales en ciberseguridad capacitados que buscan enriquecer sus habilidades en ingeniería de detección y caza de amenazas pueden unirse a las filas de nuestro Programa Threat Bounty para hacer su propia contribución a la experiencia colectiva de la industria. La participación en el programa permite a los autores de contenido de detección monetizar sus habilidades profesionales mientras ayudan a construir un futuro digital más seguro. 

Para mantenerse al tanto de los ataques rápidamente evolucionando de ransomware Black Basta y malware QakBot, los equipos de seguridad pueden aprovechar toda la colección de reglas Sigma relevantes disponibles en la plataforma de SOC Prime haciendo clic en los botones a continuación.

Explorar detecciones de QakBot Explorar detecciones de Black Basta

Análisis de la campaña de malware QakBot por la banda de ransomware Black Basta

La última investigación de Cybereason revela que QakBot actúa como un punto de entrada inicial durante los ataques de Black Basta contra empresas de EE.UU. El ataque generalmente comienza con un correo electrónico de spam o phishing que contiene un archivo de imagen de disco malicioso. Si se abre, el archivo desencadena la ejecución de QakBot, seguido de la carga útil de Cobalt Strike siendo recuperada del servidor remoto. 

En la siguiente etapa, el malware realiza la cosecha de credenciales y actividades de movimiento lateral con el objetivo de comprometer tantos puntos de conexión como sea posible con los datos de inicio de sesión obtenidos. Finalmente, la carga útil del ransomware Black Basta se deja caer en la red objetivo. 

Notablemente, en varios de los ataques observados, los operadores de la campaña desactivaron los servicios DNS para bloquear a la víctima de la red y hacer que el proceso de recuperación sea casi imposible. 

No es la primera vez que los mantenedores de Black Basta dependen de QakBot para proceder con acciones maliciosas. En octubre de 2022, se observó a la banda de ransomware utilizando QakBot para entregar el marco Brute Ratel C4 utilizado para dejar caer Cobalt Strike. La última serie de ciberataques solo demuestra un cambio significativo en las operaciones de QakBot siendo reacondicionado para instalar marcos de ataque y vender acceso a varios actores de amenazas. 

Con un número rápidamente creciente de ataques de ransomware, la detección proactiva es clave para fortalecer la postura de ciberseguridad de la organización. Obtenga más de 650 reglas Sigma para identificar ataques de ransomware actuales y emergentes y siempre mantenerse un paso por delante de los adversarios. Acceda a más de 30 reglas gratis o obtenga todo el conjunto de detección On Demand en http://my.socprime.com/pricing.