Détection de Ransomware BlackByte : Nouvel Appel à l’Action
Table des matières :
Le Federal Bureau of Investigation (FBI) et le U.S. Secret Service (USSS) ont publié un avis conjoint sur la cybersécurité concernant les activités du gang BlackByte Ransomware-as-a-Service (RaaS). Le ransomware BlackByte a été utilisé contre des entreprises situées aux États-Unis, ciblant en priorité celles-ci. Les coûts les plus élevés pèsent lourdement sur les secteurs d’infrastructures critiques tels que les installations étatiques, les services financiers, l’alimentation et l’agriculture.
Atténuation du ransomware BlackByte
Selon les données actuelles, les attaquants auraient accédé aux environnements des victimes en exploitant une faille sur le serveur Microsoft Exchange. Pour identifier les comportements associés au ransomware BlackByte, tels que les tentatives de modification des registres pour des privilèges élevés, utilisez le contenu de détection de menaces suivant :
Comportement du ransomware BlackByte – février 2022 (via la création de processus)
Cette détection a des traductions pour les plateformes suivantes de SIEM, EDR & XDR : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro et AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’Impact avec le chiffrement de données pour l’impact (T1486) comme technique principale.
Le ransomware BlackByte modifie les registres pour élever les privilèges
Cette détection a des traductions pour les plateformes suivantes de SIEM, EDR & XDR : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro et AWS OpenSearch.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’évasion de défense avec la modification du registre (T1112) comme technique principale.
Les règles sont fournies par nos développeurs Threat Bounty passionnés Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, surveillant de près les menaces émergentes.
La liste complète des détections dans le référentiel Marketplace de détection de menaces de la plateforme SOC Prime est disponible ici. Envie de créer vos propres règles Sigma ? Rejoignez notre programme Threat Bounty et soyez récompensé pour votre précieuse contribution.
Voir les détections Rejoindre le programme Threat Bounty
Attaques du ransomware BlackByte
La menace a d’abord émergé en juillet 2021, réapparaissant tous les deux mois avec de multiples attaques contre les États-Unis, l’Europe et l’Australie. Actuellement, il est connu que BlackByte RaaS a exploité une faille du serveur Microsoft Exchange pour obtenir un accès initial aux réseaux des victimes, selon l’avis conjoint du FBI et du USSS avis conjoint.
Une fois l’environnement compromis, les adversaires travaillent à acquérir une présence persistante dans le système infecté et à élever les privilèges avant d’exfiltrer et de chiffrer les fichiers. Les opérateurs du ransomware BlackByte n’ont que partiellement chiffré les données dans certains cas. La récupération des données est possible dans les circonstances où le déchiffrement n’est pas possible. Le ransomware BlackByte exécute des exécutables depuis c:windowssystem32 et C:Windows. La nouveauté de la dernière version de ce ransomware est qu’elle ne nécessite pas de communication avec des adresses IP externes pour réaliser un chiffrement réussi.
Une note exhortant une victime à payer une rançon via le réseau Tor est une partie indispensable de l’attaque. Dans le dernier rapport, le FBI conseille aux victimes de ransomware de ne pas payer car cela ne garantit pas la récupération des données et incite plutôt les pirates à lancer plus d’attaques. Il est conseillé aux victimes de signaler les infractions pour que les opérateurs de ransomware soient traqués.
Au risque de sembler répétitif, il est inutile de mentionner que la prévention et la détection des menaces sont primordiales. Inscrivez-vous gratuitement sur la plateforme Detection as Code de SOC Prime pour faciliter, accélérer et rendre plus efficace la détection des menaces avec les meilleures pratiques de l’industrie et l’expertise partagée. La plateforme permet également aux professionnels du SOC de partager le contenu de détection de leur création, de participer à des initiatives de haut niveau et de monétiser leur apport.