Détection de BlueSky Ransomware : cible les hôtes Windows et utilise le multithreading pour un chiffrement plus rapide
Table des matières :
Le ransomware BlueSky représente une famille de logiciels malveillants en rapide évolution qui intègre des capacités sophistiquées d’anti-analyse et améliore constamment ses techniques d’évasion. Le ransomware BlueSky cible les hôtes Windows et utilise une technique multithreading pour un cryptage de fichiers plus rapide. Les chercheurs en cybersécurité attribuent les modèles de ransomware révélés à l’activité de l’adversaire du célèbre groupe de ransomware Conti, qui représente depuis longtemps une menace grave pour les organisations mondiales. Notamment, la structure de code multithread des souches malveillantes de BlueSky ressemble à la troisième version du ransomware Conti Gang, qui applique une routine de cryptage améliorée basée sur le multithreading et des techniques d’évasion avancées.
Détecter le ransomware BlueSky
Pour assurer une protection rapide contre les souches de ransomware BlueSky dans l’environnement de l’organisation, la plateforme de SOC Prime a récemment publié une nouvelle règle Sigma développée par notre contributeur de contenu Threat Bounty Kyaw Pyiyt Htet (Mik0yan). Suivez le lien ci-dessous pour accéder à la règle Sigma disponible directement depuis le moteur de recherche Cyber Threats de SOC Prime, avec des métadonnées contextuelles complètes :
Cette requête de chasse aux menaces basée sur Sigma détecte les clés de registre associées au ransomware BlueSky. La détection est convertible pour 22 solutions SIEM, EDR et XDR prises en charge par la plateforme de SOC Prime et est alignée avec le cadre MITRE ATT&CK® en traitant les tactiques de persistance et d’évasion de défense ainsi que les techniques correspondantes Exécution au démarrage ou à l’ouverture de session (T1547) et Modifier le Registre (T1112).
En utilisant le module Quick Hunt de SOC Prime, les praticiens de la cybersécurité peuvent instantanément rechercher l’activité de l’adversaire associée au ransomware BlueSky en exécutant la requête mentionnée ci-dessus dans leur environnement SIEM ou EDR.
Êtes-vous un ingénieur en détection chevronné désireux de contribuer à la défense cyber collaborative ? Rejoignez le Programme Threat Bounty de SOC Prime, soumettez vos propres règles Sigma, faites-les publier sur notre plateforme Detection as Code, et obtenez des récompenses récurrentes tout en rendant le monde plus sûr.
Pour rester au courant des attaques de ransomware en évolution rapide, les équipes de sécurité peuvent tirer parti de l’ensemble de la collection de règles Sigma pertinentes disponibles sur la plateforme de SOC Prime en cliquant sur le bouton Détecter & Chasser ci-dessous. Les utilisateurs non enregistrés de SOC Prime peuvent également tirer parti de notre moteur de recherche de menaces cyber et explorer l’information contextuelle complète liée aux ransomwares, y compris les références MITRE ATT&CK et CTI et plus de métadonnées pertinentes en cliquant sur le bouton Explorer le Contexte des Menaces ci-dessous.
Détecter & Chasser Explorer le Contexte des Menaces
Analyse du ransomware BlueSky
Début août 2022, des experts en sécurité ont découvert une nouvelle famille de ransomwares posant une menace croissante pour les organisations à l’échelle mondiale. Baptisée BlueSky, la nouvelle menace cible principalement les hôtes Windows et utilise une technique de multithread pour un cryptage des données plus rapide. De plus, le logiciel malveillant applique une variété de techniques avancées d’évasion et d’obfuscation pour passer sous le radar et assurer des taux d’infection élevés.
Selon l’ enquête de CloudSEK, la chaîne de destruction de l’attaque commence par un PowerShell dropper qui télécharge la charge utile BlueSky à partir de hxxps://kmsauto[.]us/someone/start.ps1. Ce faux domaine, enregistré en septembre 2020, usurpe un ancien outil d’activation baptisé KMSAuto Net Activator. Avec un haut niveau de confiance, on pense qu’il est opéré par des acteurs menaçants d’origine russe.
Notamment, avant de déposer la charge utile finale de BlueSky, le PowerShell dropper effectue une élévation de privilège local soit avec l’aide de l’outil JuicyPotato, soit en exploitant les vulnérabilités CVE-2020-0796 et CVE-2021-1732. Ensuite, la charge utile finale de ransomware atterrit sur l’hôte de la victime sous la forme d’un fichier javaw.exe, tentant de se faire passer pour une application Windows légitime.
À l’étape suivante de l’attaque, BlueSky chiffre les fichiers des utilisateurs en ajoutant l’extension de fichier .bluesky . Le ransomware utilise une approche multithread pour garantir un processus de cryptage ultrarapide. Cette architecture multithread partage des similitudes avec la souche Conti v3 cependant, BlueSky applique différents algorithmes de cryptage. La recherche de Unit42 révèle que le ransomware BlueSky utilise ChaCha20 pour le cryptage des fichiers et Curve25519 pour la clé, ce qui ressemble à la routine du ransomware Babuk.
De plus, le ransomware BlueSky utilise des astuces d’évasion sophistiquées. Notamment, les opérateurs de ransomware codent et chiffrent les échantillons malveillants, utilisent une livraison et un chargement de charges utiles multi-étapes, et adoptent des techniques d’obfuscation, telles que le hashing API.
À mesure que les attaques par ransomware se développent en étendue et en échelle, les chercheurs en sécurité ont besoin d’outils innovants pour détecter les menaces émergentes et rester un pas en avance sur les attaquants. Rejoignez la plateforme Detection as Code de SOC Prime pour repérer les dernières attaques avec la plus grande collection mondiale de règles Sigma, améliorer la source de journal et la couverture MITRE ATT&CK, et contribuer activement à renforcer les capacités de défense cyber de votre organisation. Les chasseurs de menaces et ingénieurs en détection expérimentés sont plus que bienvenus pour rejoindre Programme Threat Bounty de SOC Prime – l’initiative de crowdsourcing de SOC Prime, pour partager leurs algorithmes de détection avec la communauté de la cybersécurité, contribuer à la défense cyber collaborative, et obtenir des paiements récurrents pour leurs contributions.
