Rilevamento degli Attacchi del Ransomware Black Basta: Recenti Campagne Dannose che Utilizzano Nuovi Strumenti Personalizzati Attribuiti al Gruppo FIN7
Indice:
The Gruppo ransomware Black Basta emerso nell’arena delle minacce informatiche nell’aprile 2022. Sebbene il collettivo di hacking possa essere considerato relativamente nuovo nel dominio delle offensive informatiche, ha già guadagnato una reputazione notoria per l’evoluzione rapida del suo toolkit avversario e l’adattamento a strumenti più sofisticati. I ricercatori di cybersecurity collegano l’attività più recente degli operatori del ransomware Black Basta al gruppo di hacking FIN7 con legami alla Russia basandosi sull’uso di nuovi strumenti per l’impedimento delle difese che appartengono alle capacità offensive di quest’ultimo.
Rileva gli ultimi attacchi di Black Basta
Con il gruppo ransomware Black Basta relativamente nuovo che avanza il suo arsenale e lo arricchisce con strumenti e tecniche personalizzate nuove, gli esperti di cybersecurity dovrebbero essere tempestivamente equipaggiati con capacità difensive pertinenti per contrastare attacchi ransomware di tale portata e impatto. La piattaforma Detection as Code di SOC Prime ha recentemente rilasciato una nuova regola Sigma per il rilevamento degli attacchi ransomware Black Basta creata dal nostro prolifico sviluppatore di Threat Bounty Kyaw Pyiyt Htet (Mik0yan):
Questa regola Sigma rileva le chiavi eseguite di registro persistenti usate dagli operatori del ransomware Black Basta negli ultimi attacchi che hanno legami con il collettivo di hacking FIN7. Il rilevamento può essere utilizzato su 22 tecnologie SIEM, EDR e XDR ed è allineato con il framework MITRE ATT&CK® indirizzando la tattica di Persistenza e la corrispondente tecnica di Autostart di Esecuzione al Boot o Logon (T1547).
L’industria della cybersecurity collega Threat Hunters e Detection Engineers che sono desiderosi di aiutarsi reciprocamente e guadagnare un vantaggio nella lotta infinita contro gli avversari. L’iniziativa di crowdsourcing di SOC Prime offre un’opportunità brillante sia per le menti aspiranti che per gli esperti esperti per aiutare i colleghi dell’industria e guadagnare una ricompensa per il contributo. Unisciti a il Programma Threat Bounty per guadagnare pagamenti ricorrenti mentre continui a perfezionare le tue abilità Sigma e ATT&CK e fare la differenza nel campo.
Cerchi modi per difenderti proattivamente contro eventuali attacchi ransomware Black Basta? Clicca il Esplora Rilevamenti pulsante e accedi istantaneamente a tutte le regole Sigma per le minacce attuali ed emergenti legate agli operatori del ransomware Black Basta. Vai in profondità nei riferimenti di MITRE ATT&CK, link CTI, binari pertinenti, mitigazioni e molto altro contesto sulle minacce informatiche.
Descrizione del Black Basta: Attacchi Ransomware legati a FIN7
Gli attori di Black Basta stanno conquistando l’arena delle minacce informatiche da oltre sei mesi, tuttavia, le loro affiliazioni con altri gestori di ransomware sono ancora sotto esame per i difensori informatici. Il gruppo sta evolvendo rapidamente le sue capacità offensive sperimentando con un’ampia gamma di TTP. Black Basta utilizza tecniche di escalation dei privilegi sfruttando un insieme di vulnerabilità note, tra cui PrintNightmare and ZeroLogon, ha diversi RAT nel suo toolkit offensivo, e applica un insieme di metodi avversari per il movimento laterale.
All’inizio di giugno 2022, i ricercatori di cybersecurity hanno trovato tracce della loro collaborazione con QBot alias Qakbot per applicare il famigerato backdoor per movimento laterale e ulteriore distribuzione di beacon di Cobalt Strike sulle macchine compromesse.
I ricercatori di SentinelLabs hanno recentemente analizzato i TTP degli operatori del ransomware Black Basta e scoperto nuovi strumenti e tecniche avversarie che possono essere attribuite a un collettivo di hacking supportato dalla Russia tracciato come FIN7 alias gruppo Carbanak basato sul nome del malware che hanno applicato nelle loro campagne dannose.
L’utilizzo di un nuovo strumento per l’impedimento delle difese sviluppato dagli attori della minaccia FIN7 ha permesso ai ricercatori di cybersecurity di stabilire una connessione tra i due collettivi di hacking. Inoltre, l’uso di un set di strumenti personalizzati e campioni maliziosi nelle ultime operazioni di ransomware Black Basta, inclusi WindefCheck.exe e il backdoor BIRDDOG alias SocksBot che appartengono al toolkit avversario FIN7 rivela ulteriori legami tra gli avversari.
Con un numero in rapida crescita di attacchi ransomware, il rilevamento proattivo è la chiave per rafforzare la postura di cybersecurity dell’organizzazione. Ottieni oltre 650 regole Sigma per rilevare attacchi ransomware attuali ed emergenti e resta sempre un passo avanti agli avversari. Raggiungi 30+ regole gratis o ottieni tutto il pacchetto di rilevamento su richiesta a http://my.socprime.com/pricing.
