Attacchi Ransomware BlackCat: Gli Attori di Minaccia Usano Brute Ratel e Cobalt Strike Beacons per Intrusioni Avanzate
Indice:
I ricercatori di cybersecurity hanno rivelato una nuova ondata di attività del noto gruppo ransomware BlackCat che distribuisce binari malware personalizzati per intrusioni più sofisticate. Negli ultimi attacchi, gli attori della minaccia hanno sfruttato i beacon di Cobalt Strike e un nuovo strumento di penetration testing soprannominato Brute Ratel, installando quest’ultimo come servizio Windows sulle macchine compromesse.
Rileva Attacchi del Ransomware BlackCat
Per rimanere aggiornati sul panorama delle minacce in continua evoluzione e resistere efficacemente agli attacchi che crescono in volume e sofisticazione, le organizzazioni globali stanno cercando modi per rafforzare le loro capacità di difesa cibernetica. Con il ransomware che rimane una tendenza in crescita nel panorama delle minacce cibernetiche nel 2021-2022, i professionisti della cybersecurity si sforzano di proteggere contro minacce correlate. La piattaforma Detection as Code di SOC Prime ha recentemente rilasciato una nuova regola Sigma per rilevare uno strumento dannoso Brute Ratel utilizzato nelle ultime operazioni ransomware BlackCat. Iscriviti o accedi alla piattaforma di SOC Prime per accedere alla rilevazione scritta dal nostro prolifico sviluppatore Threat Bounty Kyaw Pyiyt Htet (Mik0yan):
Possibile Creazione di Named Pipe Brute Ratel nell’Operazione Ransomware BlackCat (via Pipe_Event)
Difensori cibernetici esperti e promettenti con un acuto intuito per la cybersecurity e ambizioni di auto-miglioramento sono invitati a unirsi al nostro Programma Threat Bounty per creare algoritmi di rilevamento, condividerli con i colleghi del settore, ottenere riconoscimento e ricevere premi finanziari per i loro contributi.
La regola Sigma sopra può essere applicata a 18 soluzioni SIEM, EDR, e XDR supportate dalla piattaforma di SOC Prime. Per garantire una visibilità migliorata sulle minacce correlate, la rilevazione è allineata con il framework MITRE ATT&CK® affrontando la tecnica di Process Injection (T1055) dal repertorio delle tattiche di Evasione della Difesa. I professionisti della cybersecurity possono inoltre cacciare immediatamente le minacce associate alle operazioni del ransomware BlackCat utilizzando la regola Sigma sopra menzionata tramite il modulo Quick Hunt di SOC Prime.Â
La piattaforma di SOC Prime cura l’intero elenco di algoritmi di rilevazione per aiutare le organizzazioni a identificare tempestivamente l’attività del ransomware BlackCat nel loro ambiente. Per accedere al toolkit dedicato, cliccare il pulsante Rileva & Caccia . Alternativamente, i Cacciatori di Minacce, gli specialisti di Cyber Threat Intelligence e altri difensori cibernetici possono esplorare istantaneamente il contesto minaccioso completo dietro le operazioni del ransomware BlackCat anche senza registrazione. Cliccare il pulsante Esplora Contesto Minaccia per raggiungere informazioni contestuali perspicaci, comprese le riferimenti MITRE ATT&CK, i collegamenti CTI e i binari eseguibili Windows collegati alle regole Sigma che accompagnano la tua ricerca delle minacce correlate.
Rileva & Caccia Esplora Contesto Minaccia
Analisi di BlackCat: Gli ultimi aggiornamenti
Dopo essere emerso per la prima volta nel novembre 2021, BlackCat (alias Alphv) si è rapidamente dichiarato come un nuovo leader del ransomware-as-a-service (RaaS), attirando molta attenzione a causa del suo insolito linguaggio di programmazione Rust, delle sofisticate capacità malevole e dell’offerta generosa per gli affiliati di mantenere il 90% dei pagamenti di riscatto. I ricercatori di sicurezza credono che BlackCat possa essere il successore dei gruppi ransomware DarkSide or BlackMatter suggerendo un complesso insieme di competenze dei suoi operatori.
L’ultima indagine di Sophos rivela che i manutentori di BlackCat continuano a migliorare il ceppo di malware con nuovi trucchi. Gli attori della minaccia si affidano tipicamente a firewall non aggiornati o servizi VPN obsoleti per ottenere un primo punto d’appoggio nelle reti esposte o ottenere credenziali VPN per accedere come utenti autorizzati.
Dopo l’infezione, vengono sfruttati vari strumenti open source e commercialmente disponibili per potenziare le capacità di accesso remoto di BlackCat. In particolare, l’analisi delle ultime intrusioni mostra che gli attori della minaccia hanno utilizzato TeamViewer, nGrok, Cobalt Strike e Brute Ratel per garantire percorsi di accesso alternativi. Secondo Sophos, la suite di pentesting Brute Ratel con funzionalità simili a Cobalt Strike è l’ultima acquisizione per potenziare le capacità di post-sfruttamento mentre si vola sotto il radar.
Mentre aggiungono alla notorietà di BlackCat, gli operatori del ransomware diventano più audaci emettendo richieste di riscatto più alte per le loro vittime. Il gruppo prende generalmente di mira bersagli di alto profilo, inclusi OilTanking GmbH, Swissport, la Florida International University e la University of North Carolina A&T. Le richieste di riscatto sono aumentate nel tempo, raggiungendo ora 2,5 milioni di dollari, con uno sconto possibile del 50% in caso di pagamento rapido.
Con un numero crescente di tendenze e intrusioni più sofisticate, il ransomware è considerato la principale sfida per la maggior parte delle organizzazioni nel 2021, incluse le grandi imprese. Registrati alla piattaforma Detection as Code di SOC Prime e accedi alla raccolta di oltre 200.000 algoritmi di rilevazione per identificare e difendersi proattivamente contro le minacce emergenti.
