Rilevamento del Ransomware BlackByte: Nuova Sveglia

[post-views]
Febbraio 25, 2022 · 4 min di lettura
Rilevamento del Ransomware BlackByte: Nuova Sveglia

Il Federal Bureau of Investigation (FBI) e lo United States Secret Service (USSS) hanno rilasciato un avviso congiunto sulla sicurezza informatica riguardante le attività del gruppo BlackByte Ransomware-as-a-Service (RaaS). Il ransomware BlackByte è stato utilizzato principalmente contro le aziende situate negli Stati Uniti. I costi maggiori ricadono pesantemente sui settori delle infrastrutture critiche come le strutture statali, i servizi finanziari, l’alimentazione e l’agricoltura.

Mitigazione del Ransomware BlackByte

Secondo i dati attuali, gli aggressori avrebbero ottenuto accesso agli ambienti delle vittime sfruttando una falla di Microsoft Exchange Server. Per identificare i comportamenti associati al Ransomware BlackByte, come i tentativi di modificare registri per privilegi elevati, utilizzare il seguente contenuto di rilevamento delle minacce:

Comportamento del Ransomware BlackByte – Feb 2022 (tramite creazione di processo)

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di impatto con Data Encrypted for Impact (T1486) come tecnica principale.

Il Ransomware BlackByte Modifica i Registri per Elevare i Privilegi

Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Evasione delle Difese con Modify Registry (T1112) come tecnica principale.

Le regole sono fornite dai nostri attenti sviluppatori di Threat Bounty Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, tenendo d’occhio le minacce emergenti.

L’elenco completo dei rilevamenti nel repository del Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui. Sei desideroso di creare le tue regole Sigma? Unisciti al nostro programma Threat Bounty e vieni ricompensato per il tuo prezioso contributo.

Visualizza i Rilevamenti Unisciti a Threat Bounty

Attacchi Ransomware BlackByte

La minaccia è emersa per la prima volta a luglio 2021, riapparendo ogni due mesi con diversi attacchi contro gli Stati Uniti, l’Europa e l’Australia. Attualmente, si sa che BlackByte RaaS ha sfruttato una falla di Microsoft Exchange Server per ottenere l’accesso iniziale alle reti delle vittime, secondo l’avviso congiunto dell’FBI e dell’USSS avviso congiunto.

Una volta violato l’ambiente, gli avversari lavorano per ottenere una presenza persistente nel sistema infetto ed elevare i privilegi prima di esfiltrare e criptare i file. Gli operatori del ransomware BlackByte hanno solo parzialmente criptato i dati in certi casi. Il recupero dei dati è possibile in circostanze in cui la decrittazione non è fattibile. Il ransomware BlackByte esegue eseguibili da c:windowssystem32 e C:Windows. La novità della versione più recente di questo ransomware è che non necessita di comunicazione con alcun indirizzo IP esterno per completare con successo la criptazione.

Una nota che sollecita una vittima a pagare un riscatto attraverso la rete Tor è una parte indispensabile dell’attacco. Nell’ultimo rapporto, l’FBI consiglia alle vittime di ransomware di non pagare poiché ciò non garantisce il recupero dei dati e incoraggia invece gli hacker a lanciare ulteriori attacchi. Si consiglia alle vittime di denunciare le violazioni affinché gli operatori di ransomware possano essere rintracciati.

A rischio di sembrare un disco rotto, è inutile menzionare che la prevenzione e il rilevamento delle minacce sono fondamentali. Iscriviti gratuitamente alla piattaforma Detection as Code di SOC Prime per rendere il rilevamento delle minacce più facile, veloce ed efficiente con le migliori pratiche del settore e competenze condivise. La piattaforma consente inoltre ai professionisti SOC di condividere il contenuto di rilevamento creato da loro, partecipare a iniziative di alto livello e monetizzare il loro contributo.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento del Ransomware Interlock: Allerta Congiunta di FBI e CISA sugli Attacchi su Larga Scala tramite ClickFix 4 min di lettura Ultime Minacce Rilevamento del Ransomware Interlock: Allerta Congiunta di FBI e CISA sugli Attacchi su Larga Scala tramite ClickFix by Veronika Telychko Rilevamento ransomware Interlock: distribuita nuova variante RAT basata su PHP tramite FileFix 5 min di lettura Ultime Minacce Rilevamento ransomware Interlock: distribuita nuova variante RAT basata su PHP tramite FileFix by Veronika Telychko Individuazione del Ransomware BERT: Attacchi in Asia, Europa e USA su Sistemi Windows e Linux 6 min di lettura Ultime Minacce Individuazione del Ransomware BERT: Attacchi in Asia, Europa e USA su Sistemi Windows e Linux by Veronika Telychko
Tutte le notizie