Détection du Ransomware Black Basta : Nouvelle Collaboration avec QBot

QBot, également connu sous le nom de Qakbot, existe depuis 2007, tandis que son compagnon, un groupe d’acteurs malveillants nommé Black Basta, a fait surface il y a seulement quelques mois – en avril 2022. Selon les dernières informations sur un partenariat entre Qakbot et Black Basta, ce dernier utilise ce voleur d’informations pour parcourir le système compromis et maintenir une persistance, en utilisant le mouvement latéral comme tactique principale dans cette campagne. Les preuves indiquent que l’acteur malveillant a déployé Cobalt Strike balises sur les machines des victimes.

Détecter le ransomware Black Basta

Pour détecter l’activité malveillante de Black Basta qui pourrait compromettre votre réseau, utilisez l’ensemble suivant de règles Sigma disponible dans la plate-forme Detection as Code de SOC Prime :

Règles Sigma pour détecter le ransomware Black Basta

Les utilisateurs non enregistrés peuvent parcourir la collection de règles Sigma disponibles via le moteur de recherche de Cyber Threats. Appuyez sur le bouton Naviguer vers le moteur de recherche pour accéder à un guichet unique pour le contenu SOC gratuit.

Les professionnels de la sécurité enregistrés exploitent tout le potentiel de la plus grande et la plus avancée plate-forme mondiale pour la défense cyber collaborative. Appuyez sur le bouton Voir dans la plate-forme SOC Prime pour accéder à une collection exhaustive des règles les plus à jour pour détecter les infiltrations de ransomware.

Voir dans la plate-forme SOC Prime Naviguer vers le moteur de recherche

Analyse du ransomware Black Basta

Un groupe prolifique de ransomware connu sous le pseudonyme de Black Basta montre une volonté de conquérir de nouveaux horizons dans le domaine de l’offensive cybernétique, en s’adaptant à de nouveaux outils malveillants et techniques de piratage. Bien qu’ils soient novices dans le domaine des attaques par ransomware, ils se sont déjà fait un nom dans les crimes à haute valeur, lançant des attaques de double extorsion à l’échelle mondiale.

Les chercheurs de NCC Group ont signalé une récente collaboration de Black Basta avec QBot. Le cheval de Troie bancaire souvent qualifié de couteau suisse pour sa polyvalence impressionnante dans les opérations malveillantes est fréquemment utilisé comme dropper dans les attaques par ransomware. Les adversaires de Black Basta l’ont utilisé principalement pour sa capacité à se déplacer latéralement dans un environnement compromis avec l’objectif de déposer les exécutables de ransomware sur tous les hôtes d’un réseau compromis. Les données actuelles indiquent que, dans la dernière campagne, les adversaires tuent les processus de Windows Defender sur les appareils compromis.

Envie d’en savoir plus sur l’amélioration de vos contre-mesures de sécurité ? Rejoignez la plate-forme SOC Prime pour débloquer l’accès à la plus grande piscine mondiale de contenu de détection créé par les leaders de l’industrie et améliorer l’efficacité dans votre écosystème de sécurité. SOC Prime, dont le siège est à Boston, aux États-Unis, est alimentée par une équipe internationale d’experts chevronnés dédiée à permettre la défense cyber collaborative.