Détection de la campagne de logiciels malveillants QakBot menant à des infections par le ransomware Black Basta

Le ransomware est la menace numéro un posant un danger significatif pour les défenseurs de la sécurité dans le monde entier, avec la tendance des attaques en constante augmentation tout au long de 2021-2022. Récemment, des experts en sécurité ont révélé une campagne massive de logiciels malveillants QakBot ciblant de plus en plus les fournisseurs basés aux États-Unis pour livrer le ransomware Black Basta. 

Au cours de la dernière décennie de novembre 2022, au moins 10 entreprises aux États-Unis ont été victimes d’une série d’attaques agressives. Dans tous les cas, QakBot (alias QBot ou Pinkslipbot) agit comme un point d’entrée initial pour les opérateurs de Black Basta qui s’appuient sur la souche malveillante pour maintenir la persistance à travers l’infrastructure ciblée. 

Détecter les infections par ransomware Black Basta en utilisant le malware QakBot

Avec le relativement nouveau cercle RaaS Black Basta avançant son arsenal et l’enrichissant avec de nouveaux outils et techniques sur mesure, les experts en cybersécurité devraient être opportunément équipés de capacités défensives pertinentes pour contrecarrer les attaques par ransomware de cette ampleur et impact. La plateforme Detection as Code de SOC Prime agrège un ensemble de règles Sigma par nos développeurs Threat Bounty avisés Osman Demir and Zaw Min Htun pour détecter le ransomware Black Basta en s’appuyant sur QakBot pour l’infection. 

Possible Attaque Black-Basta [QakBot] (Novembre 2022) Activité de déplacement latéral par détection du processus associé (via process_creation)

Cette règle détecte l’exécution de charge utile Cobalt Strike avec les commandes SetVolume de rundll32.exe. La détection prend en charge les traductions vers 20 plateformes SIEM, EDR et XDR et est alignée sur le cadre MITRE ATT&CK® adressant la tactique d’évasion défensive avec la technique correspondante d’exécution de proxy binaire signé (T1218).

Exécution de campagne Qakbot agressive suspecte par détection de commandes associées [Ciblant les entreprises américaines] (via powershell)

La règle ci-dessus détecte le comportement malveillant associé à PowerShell utilisé au cours de la dernière campagne QakBot pour interroger des informations contre les services de domaine Active Directory avec la classe System.DirectoryServices.DirectorySearcher. La détection prend en charge les traductions vers 13 plateformes SIEM, EDR et XDR et est alignée sur le cadre MITRE ATT&CK adressant la tactique d’exécution avec les techniques correspondantes PowerShell (T1086) et interpréteur de commandes et scripts (T1059).

Les praticiens qualifiés en cybersécurité s’efforçant d’enrichir leurs compétences en ingénierie de détection et en chasse aux menaces peuvent rejoindre les rangs de notre Programme de Bounty contre les Menaces pour apporter leur propre contribution à l’expertise collective de l’industrie. La participation au programme permet aux auteurs de contenu de détection de monétiser leurs compétences professionnelles tout en aidant à construire un avenir numérique plus sûr. 

Pour rester au courant des attaques évolutives rapides du ransomware Black Basta et du malware QakBot, les équipes de sécurité peuvent tirer parti de l’intégralité de la collection de règles Sigma pertinentes disponibles sur la plateforme de SOC Prime en cliquant sur les boutons ci-dessous.

Explorer les détections de QakBot Explorer les détections de Black Basta

Analyser la campagne de malware QakBot par le gang de ransomware Black Basta

La dernière enquête par Cybereason révèle que QakBot agit comme un point d’entrée initial lors des attaques Black Basta contre des entreprises américaines. L’attaque commence généralement par un e-mail de spam ou de phishing contenant un fichier image disque malveillant. Si ouvert, le fichier déclenche l’exécution de QakBot, suivie de la récupération de la charge utile Cobalt Strike depuis le serveur distant. 

À l’étape suivante, le malware effectue la récolte de données d’identification et des activités de déplacement latéral visant à compromettre autant de points d’extrémité que possible avec les données de connexion récoltées. Enfin, la charge utile de ransomware Black Basta est déposée sur le réseau ciblé. 

Il est à noter que, dans plusieurs des attaques observées, les opérateurs de la campagne ont désactivé les services DNS pour verrouiller la victime hors du réseau et rendre le processus de récupération presque impossible. 

Ce n’est pas la première fois que les mainteneurs de Black Basta s’appuient sur QakBot pour poursuivre des actions malveillantes. En octobre 2022, le gang de ransomware a été observé utilisant QakBot pour livrer le cadre Brute Ratel C4 utilisé pour déposer Cobalt Strike. La dernière série de cyberattaques ne fait que prouver un changement significatif dans les opérations de QakBot qui sont remaniées pour installer des cadres d’attaque et vendre l’accès à divers acteurs menaçants. 

Avec un nombre croissant d’attaques par ransomware, la détection proactive est la clé pour renforcer la posture de cybersécurité de l’organisation. Obtenez plus de 650 règles Sigma pour identifier les attaques par ransomware actuelles et émergentes et restez toujours en avance sur les adversaires. Atteignez 30+ règles gratuitement ou obtenez l’ensemble complet de détection avec On Demand à http://my.socprime.com/pricing.