Rilevamento del Ransomware BlackCat: Sfortuna Scritto in Rust
Indice:
Gli avversari stanno cercando nuovi mezzi per aumentare la pressione, questa volta portando un nuovo ransomware scritto in Rust per attaccare le organizzazioni negli Stati Uniti, Europa, Australia, India e Filippine. Gli sviluppatori del ransomware ALPHV BlackCat prendono di mira i sistemi operativi Windows e Linux tramite framework/toolset di terze parti (ad esempio, Cobalt Strike) o sfruttando applicazioni vulnerabili.
La gang BlackCat sta reclutando attivamente hacker su forum come RAMP, XSS e Exploit, seducendoli con una quota ragguardevole dei pagamenti di riscatto.
Routine di Attacco del Ransomware BlackCat
Secondo l’ampia analisi di Palo Alto, questo ransomware si distingue per la sua adattabilità , consentendo agli attaccanti di personalizzarlo per ogni obiettivo per aumentare i danni. Gli attori della minaccia BlackCat utilizzano varie tattiche e routine di crittografia. Il ransomware può essere configurato per usare quattro differenti modalità di crittografia:
- Crittografia completa del file
- Veloce (vengono crittografati solo i primi N megabyte)
- DotPattern (N megabyte vengono crittografati via M step)
- Auto (l’elaborazione dei file è su armadietto)
I dati attuali indicano che gli attori della minaccia utilizzano BlackCat, impiegano multiple tecniche di estorsione, rubano dati delle vittime in schemi di doppia e tripla estorsione, minacciano di divulgare informazioni sensibili e lanciano attacchi di denial of service distribuito (DDoS).
Il ransomware terminerà i processi e i servizi che potrebbero potenzialmente impedire la crittografia nel suo processo di configurazione. Di conseguenza, interromperà l’operazione delle macchine virtuali e delle macchine virtuali ESXi, e cancellerà gli snapshot ESXi per ostacolare o impedire il recupero. BlackCat utilizza un’estensione di nome casuale su ogni dispositivo crittografato, aggiunta a tutti i file e inclusa nella nota di riscatto. Sollecita gli utenti infetti a connettersi al portale di pagamento degli attaccanti tramite TOR, con richieste di riscatto in Bitcoin o Monero.
Attacchi Segnalati Simili a BlackCat
Assistiamo a una crescente tendenza di hacker ad ampliare il loro repertorio di linguaggi utilizzati per creare malware. Vi sono un numero crescente di casi che utilizzano malware scritto in Dlang, Go, Nim e Rust, per trovare nuovi percorsi per aggirare le protezioni di sicurezza, eludere l’analisi e raggiungere maggiori probabilità di successo nell’evasione. Etichettato come “la nuova generazione di ransomware”, BlackCat mostra elementi comportamentali simili a quelli di un successore di DarkSide, il ransomware BlackMatter . Nonostante numerose somiglianze, il ransomware ALPHV BlackCat include caratteristiche innovative che lo distinguono dai programmi RaaS mirati alle violazioni aziendali. Gli operatori di BlackCat hanno imparato dagli errori dei loro predecessori RaaS, impiegando nuovi vettori di infezione, opzioni di esecuzione innovative, e particolarmente aggressive campagne di naming and shaming.
Mitigazione di BlackCat
ALPHV è apparso per la prima volta a metà novembre 2021 e da allora è stato attivamente alla ricerca di vittime in vari settori. Purtroppo, con un certo successo. Secondo i rapporti, le vittime sono invitate a pagare fino a 14 milioni di dollari per recuperare i loro file.
Per proteggere l’infrastruttura della tua azienda da possibili attacchi BlackCat, puoi scaricare un set di regole Sigma gratuite sviluppate dai nostri esperti sviluppatori di minacce, Emir Erdogan and Kaan Yeniyol, che non perdono mai un colpo.
Rilevamento del Ransomware BlackCat (via cmdline)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, and AWS OpenSearch.
La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, trattando le tattiche di Comando e Controllo, Esecuzione, Impatto e Esfiltrazione con Protocollo di Livello Applicativo (T1071), Interprete di Comandi e Script (T1059), Dati Cifrati per Impatto (T1486) e Limiti delle Dimensioni di Trasferimento Dati (T1030) come le tecniche principali.
Esecuzione e Ricognizione UUID del Ransomware BlackCat
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Open Distro, e AWS OpenSearch.
La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, trattando le tattiche di Esecuzione, Evasione della Difesa, e Scoperta con Interprete di Comandi e Script (T1059), Esecuzione di Comandi Indiretti (T1202), e Scoperta del Servizio di Sistema (T1007) come le tecniche principali.
L’elenco completo delle rilevazioni nel repository del Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui.
Registrati gratuitamente sulla piattaforma Detection as Code di SOC Prime per rilevare le minacce più recenti all’interno del tuo ambiente di sicurezza, migliorare la copertura delle fonti di log e del MITRE ATT&CK, e difenderti dagli attacchi in modo più facile, veloce ed efficiente. Gli esperti di cybersecurity sono più che benvenuti a unirsi al programma Threat Bounty per condividere regole Sigma curate con la comunità e ottenere ricompense ricorrenti.
