Détection des attaques par ransomware Black Basta : campagnes malveillantes récentes utilisant de nouveaux outils personnalisés attribués au groupe FIN7
Table des matières :
The Groupe de rançongiciels Black Basta a émergé dans l’arène des menaces cybernétiques en avril 2022. Bien que le collectif de hackers soit relativement nouveau dans le domaine offensif cybernétique, il s’est déjà forgé une réputation notoire pour l’évolution rapide de son arsenal d’adversaires et l’adaptation de ses outils plus sophistiqués. Les chercheurs en cybersécurité relient la dernière activité des opérateurs de rançongiciels Black Basta au groupe de hackers lié à la Russie FIN7 basé sur l’utilisation de nouveaux outils d’atteinte à la défense qui appartiennent aux capacités offensives de ce dernier.
Détecter les dernières attaques de Black Basta
Avec le relativement nouveau groupe de rançongiciels Black Basta progressant dans son arsenal et l’enrichissant avec de nouveaux outils et techniques personnalisés, les experts en cybersécurité devraient être équipés à temps avec des capacités défensives pertinentes pour contrecarrer les attaques de rançongiciels d’une telle envergure et impact. La plateforme Detection as Code de SOC Prime a récemment publié une nouvelle règle Sigma pour la détection des attaques de rançongiciels Black Basta, créée par notre prolifique développeur Threat Bounty Kyaw Pyiyt Htet (Mik0yan):
Cette règle Sigma détecte les clés de démarrage persistantes du registre utilisées par les opérateurs de rançongiciels Black Basta dans les dernières attaques qui ont des liens avec le collectif de hackers FIN7. La détection peut être utilisée à travers 22 technologies SIEM, EDR et XDR et est alignée avec le cadre MITRE ATT&CK® abordant la tactique de la Persistance et la technique correspondante d’Exécution Autostart au Démarrage ou à la Connexion (T1547).
L’industrie de la cybersécurité connecte les Threat Hunters et Detection Engineers désireux d’aider les uns les autres et de prendre l’avantage dans la lutte incessante contre les adversaires. L’initiative de crowdsourcing de SOC Prime offre une opportunité brillante tant aux esprits en devenir qu’aux experts aguerris pour aider leurs pairs de l’industrie et gagner une prime pour leur contribution. Rejoignez le programme Threat Bounty pour gagner des paiements récurrents tout en maîtrisant continuellement vos compétences Sigma et ATT&CK et en faisant la différence dans le domaine.
Vous cherchez des moyens de vous défendre de manière proactive contre toute attaque de rançongiciels Black Basta ? Cliquez sur le bouton Explorer les détections et accédez instantanément à toutes les règles Sigma pour les menaces actuelles et émergentes liées aux opérateurs de rançongiciels Black Basta. Approfondissez les références MITRE ATT&CK, les liens CTI, les binaires pertinents, les atténuations et plus de contexte de menace cyber.
Description de Black Basta : Attaques de Rancongiciels Liées à FIN7
Les acteurs de Black Basta conquièrent l’arène des menaces cyber depuis plus de six mois, cependant, leurs affiliations avec d’autres mainteneurs de rançongiciels restent encore en question pour les défenseurs cybers. Le groupe a évolué rapidement ses capacités offensives en expérimentant une large gamme de TTPs. Black Basta utilise des techniques d’escalade de privilèges en exploitant un ensemble de vulnérabilités connues, y compris PrintNightmare and ZeroLogon, possède plusieurs RATs dans son arsenal offensif, et applique un ensemble de méthodes d’adversaire pour le déplacement latéral.
Début juin 2022, des chercheurs en cybersécurité ont trouvé des traces de leur collaboration avec QBot alias Qakbot pour appliquer la fameuse porte dérobée pour le déplacement latéral et le déploiement ultérieur de balises Cobalt Strike sur les machines compromises.
Les chercheurs de SentinelLabs ont récemment analysé les TTPs des opérateurs de rançongiciels Black Basta et ont découvert de nouveaux outils et techniques adversaires qui peuvent être attribués à un collectif de hackers soutenu par la Russie suivi sous le nom de FIN7 alias groupe Carbanak d’après le nom des malwares qu’ils ont appliqués dans leurs campagnes malveillantes.
L’utilisation d’un nouvel outil d’atteinte à la défense développé par les acteurs de la menace FIN7 a permis aux chercheurs en cybersécurité d’établir une connexion entre deux collectifs de hackers. De plus, l’utilisation d’un ensemble d’outils personnalisés et d’échantillons malveillants dans les dernières opérations de rançongiciels Black Basta, y compris WindefCheck.exe et la porte dérobée BIRDDOG alias SocksBot qui appartiennent à l’arsenal adverse de FIN7 révéle davantage de liens entre les adversaires.
Avec un nombre rapidement croissant d’attaques de rançongiciels, la détection proactive est la clé pour renforcer la posture de cybersécurité de l’organisation. Obtenez 650+ règles Sigma pour détecter les attaques de rançongiciels actuelles et émergentes et toujours garder une longueur d’avance sur les adversaires. Accédez à plus de 30 règles gratuitement ou obtenez l’intégralité de la pile de détection à la demande sur http://my.socprime.com/pricing.
