Rilevamento del Ransomware Black Basta: Nuova Collaborazione con QBot

QBot, noto anche come Qakbot, è in circolazione dal 2007, mentre il suo compagno, un gruppo di attori delle minacce denominato Black Basta, è emerso solo pochi mesi fa – nell’aprile 2022. Secondo le ultime informazioni su una collaborazione tra Qakbot e Black Basta, quest’ultimo utilizza questo modulo ladro di informazioni per muoversi attraverso il sistema compromesso e mantenere la persistenza, utilizzando il movimento laterale come tattica principale in questa campagna. Le evidenze indicano che l’attore della minaccia ha distribuito Cobalt Strike beacon sui computer delle vittime.

Rileva il ransomware Black Basta

Per rilevare attività malevole di Black Basta che potrebbero compromettere la tua rete, utilizza il seguente set di regole Sigma disponibili sulla piattaforma Detection as Code di SOC Prime:

Regole Sigma per rilevare il ransomware Black Basta

Gli utenti non registrati possono sfogliare la raccolta di regole Sigma disponibile tramite il motore di ricerca Cyber Threat. Premi il pulsante Drill Down to Search Engine per accedere a un negozio unico per contenuti SOC gratuiti.

I professionisti della sicurezza registrati sfruttano tutto il potenziale della piattaforma più grande e avanzata al mondo per la difesa informatica collaborativa. Premi il pulsante View in SOC Prime Platform per accedere a una raccolta esaustiva delle regole più aggiornate per rilevare infiltrazioni di ransomware.

Visualizza nella piattaforma SOC Prime pulsante Drill Down to Search Engine

Analisi del ransomware Black Basta

Un prolifico gruppo di ransomware noto con il nome Black Basta dimostra una voglia di conquistare nuovi orizzonti nel campo degli attacchi informatici, adattando nuovi strumenti malware e tecniche di hacking. Nonostante sia un novizio nel campo degli attacchi ransomware, si è già fatto un nome nei crimini di alto valore, lanciando attacchi di doppia estorsione in tutto il mondo.

I ricercatori del Gruppo NCC QBothanno riferito una recente collaborazione di Black Basta con. Il trojan bancario, spesso considerato un coltellino svizzero del malware per la sua impressionante versatilità nelle operazioni malevole, è frequentemente utilizzato come dropper in attacchi ransomware. Gli avversari di Black Basta lo hanno usato principalmente per la sua capacità di muoversi lateralmente all’interno di un ambiente compromesso con l’obiettivo di distribuire gli eseguibili ransomware su tutti gli host all’interno di una rete compromessa. I dati attuali indicano che nella campagna più recente, gli avversari uccidono i processi di Windows Defender sui dispositivi compromessi.

Desideroso di saperne di più su come migliorare le tue contromisure di sicurezza? Unisciti alla piattaforma di SOC Prime per sbloccare l’accesso alla più grande raccolta di contenuti di rilevamento creata dai leader del settore e promuovere l’efficienza nel tuo ecosistema di sicurezza. SOC Prime, con sede a Boston, Stati Uniti, è supportata da un team internazionale di esperti esperti dedicati a consentire la difesa informatica collaborativa.