Rilevamento Attacco BlackCat alias ALPHV: Gli Hacker Sfruttano il Malvertising per Diffondere Malware e Utilizzano lo SpyBoy Terminator per Ostacolare la Protezione di Sicurezza
Indice:
I ricercatori di sicurezza informatica hanno scoperto tracce di nuove attività dannose attribuite all’infido BlackCat alias ALPHV, una banda di ransomware. La campagna avversaria prevede la distribuzione di malware tramite pagine web clonate di aziende legittime, inclusa quella di un popolare servizio di trasferimento file WinSCP. È stato osservato che BlackCat utilizza anche SpyBoy Terminator per i suoi scopi offensivi per ostacolare la protezione anti-malware.
Rilevamento dell’Attività di BlackCat e Diffusione di Malware tramite Pagine Web Clonate
Con gli operatori del ransomware BlackCat che aggiungono continuamente nuove funzionalità nefaste al set di strumenti e cercano metodi di attacco efficaci, i difensori informatici necessitano di una fonte affidabile di algoritmi di rilevamento e informazioni sulle minacce per resistere proattivamente a possibili intrusioni. Per rilevare l’attività dannosa associata alla più recente campagna BlackCat (ALPHV), scarica un set di regole Sigma dedicate disponibili nella piattaforma SOC Prime.
Tutti gli algoritmi di rilevamento sono compatibili con 28 tecnologie SIEM, EDR e XDR e allineati con il framework MITRE ATT&CK v12 per semplificare le procedure di individuazione delle minacce.
Premi il pulsante Esplora Rilevamenti per esplorare un lotto di regole Sigma curate mirate alla rilevazione degli attacchi del ransomware BlackCat. Tutte le regole contengono metadati ricchi, incluse le referenze ATT&CK e CTI. Per aiutare i professionisti della sicurezza durante la ricerca dei contenuti, SOC Prime supporta il filtraggio per tag “BlackCat,” “ALPHV,” “SpyBoy” basato sui titoli dei campioni di malware utilizzati nel corso della campagna sotto i riflettori.
BlackCat Usa la Malvertising come Vettore di Ingresso: Nuova Analisi dell’Attacco
I famigerati affiliati di ALPHV BlackCat ransomware hanno attirato molta attenzione nel campo delle minacce informatiche da metà novembre 2021, prendendo di mira una varietà di settori industriali in tutto il mondo e sperimentando molteplici TTP e strumenti offensivi.
I ricercatori di Trend Micro hanno pubblicato un rapporto che mette in evidenza l’attività recente del gruppo BlackCat. Nella campagna più recente, i distributori di malware utilizzano una tecnica di malvertising per diffondere ceppi dannosi tramite pagine web clonate dell’applicazione Windows open source WinSCP. Questa tecnica di hacking comporta la diffusione di annunci dannosi destinati a indurre utenti compromessi a scaricare determinati tipi di malware.
È stato osservato che gli hacker di BlackCat rubano credenziali per ottenere accesso non autorizzato alle reti target e accedere al server di backup. Hanno inoltre sfruttato le utility di gestione dell’accesso remoto per stabilire e mantenere la persistenza sul sistema compromesso e hanno applicato SpyBot Terminator per bypassare la protezione EDR e antivirus.
La catena d’infezione si innesca cercando la parola chiave “WinSCP Download” tramite il motore di ricerca Bing, con un annuncio dannoso visualizzato all’utente target che porta al sito web fraudolento. Seguendo il link, l’utente verrà reindirizzato a una pagina web clonata del legittimo servizio WinSCP. Cliccando per scaricare un file ISO che si spaccia per un installer legittimo dell’applicazione, quest’ultimo diffonde ulteriormente l’infezione tramite due file dannosi, setup.exe e un file DLL caricato con ritardo.
BlackCat ha anche applicato un set di altri strumenti avversari per scoprire l’ambiente compromesso, incluso AdFind, che può essere utilizzato per raccogliere informazioni dagli ambienti di Active Directory (AD), escalation dei privilegi e furto di credenziali. Il gruppo ha inoltre sfruttato comandi PowerShell per raccogliere dati utente e memorizzarli nel file CSV. Tra gli altri strumenti, hanno sfruttato un set di utility da riga di comando, come AccessChk64 e findstr, e script PowerShell. Per ottenere credenziali amministrative e l’escalation dei privilegi, BlackCat ha applicato script Python dannosi, mentre strumenti come PsExec, BitsAdmin e curl sono stati usati per scaricare altri strumenti e muoversi lateralmente nell’ambiente compromesso.
Usando un trucco di malvertising ben noto, gli operatori del ransomware BlackCat hanno diffuso con successo l’infezione attraverso un sito web discutibile che si spaccia per installatori WinSCP. Affidati alla piattaforma SOC Prime per essere completamente equipaggiato con contenuti di rilevamento pertinenti contro qualsiasi TTP utilizzato negli attacchi informatici in corso. Accedi agli ultimi algoritmi di rilevamento comportamentale pronti per l’uso ed esplora contesti rilevanti su qualsiasi attacco o minaccia informatica, inclusi zero-day, riferimenti CTI e ATT&CK e strumenti Red Team. Convalida lo stack di rilevamento supportato da un audit di dati ATT&CK in modalità sola lettura automatica, identifica i punti ciechi e affrontali tempestivamente per garantire una completa visibilità delle minacce basata sui log specifici dell’organizzazione. Semplifica le attività ad-hoc con l’autocompletamento di Sigma e ATT&CK, automatizza la traduzione delle query cross-platform ed esplora il contesto delle minacce informatiche rilevanti da ChatGPT e dalla comunità globale dei difensori informatici per risparmiare secondi alle operazioni SOC.
