Rilevamento del Ransomware BlueSky: Prende di Mira Host Windows e Sfrutta il Multithreading per un Criptazione Più Veloce
Indice:
Il ransomware BlueSky rappresenta una famiglia di malware in rapida evoluzione che coinvolge capacità sofisticate di anti-analisi e migliora costantemente le sue tecniche di evasione. Il ransomware BlueSky prende di mira gli host Windows e si basa su una tecnica di multithreading per la crittografia dei file più rapida. I ricercatori di cybersecurity attribuiscono i modelli di ransomware rivelati all’attività avversaria dell’infame gruppo ransomware Conti, che è da tempo una seria minaccia per le organizzazioni globali. In particolare, la struttura del codice multithread dei ceppi malevoli BlueSky ricorda la terza versione del ransomware Conti Gang, che applica una routine di crittografia avanzata basata su tecniche di multithreading ed evasione avanzate.
Rilevare BlueSky Ransomware
Per garantire una protezione tempestiva dalle varianti ransomware BlueSky nell’ambiente dell’organizzazione, la piattaforma di SOC Prime ha recentemente rilasciato una nuova regola Sigma sviluppata dal nostro attento contributore di contenuti Threat Bounty Kyaw Pyiyt Htet (Mik0yan). Segui il link sottostante per accedere alla regola Sigma dedicata disponibile direttamente dal motore di ricerca Cyber Threats di SOC Prime, insieme a metadati contestuali completi:
Questa query di caccia alle minacce basata su Sigma rileva le chiavi di registro associate al ransomware BlueSky. Il rilevamento è convertibile in 22 soluzioni SIEM, EDR e XDR supportate dalla piattaforma SOC Prime ed è allineato con il quadro MITRE ATT&CK® affrontando le tattiche di persistenza ed evasione delle difese insieme alle tecniche corrispondenti Boot o Logon Autostart Execution (T1547) e Modify Registry (T1112).
Utilizzando il modulo Quick Hunt di SOC Prime, i professionisti della cybersecurity possono cercare istantaneamente l’attività avversaria associata al ransomware BlueSky eseguendo la query sopra menzionata nel loro ambiente SIEM o EDR.
Sei un esperto Detective Engineer desideroso di contribuire alla difesa informatica collaborativa? Unisciti al Programma Threat Bounty di SOC Prime, invia le tue regole Sigma, falle pubblicare sulla nostra piattaforma Detection as Code e ottieni ricompense ricorrenti contribuendo a rendere il mondo un luogo più sicuro.
Per tenersi al passo con gli attacchi ransomware in rapido sviluppo, i team di sicurezza possono sfruttare l’intera collezione di regole Sigma pertinenti disponibili nella piattaforma di SOC Prime cliccando il pulsante Detect & Hunt qui sotto. Anche gli utenti non registrati di SOC Prime possono trarre vantaggio dal nostro motore di ricerca delle minacce informatiche ed esplorare le informazioni contestuali complete relative al ransomware, comprese le referenze MITRE ATT&CK e CTI e altri metadati rilevanti cliccando il pulsante Explore Threat Context qui sotto.
Detect & Hunt Explore Threat Context
Analisi del ransomware BlueSky
All’inizio di agosto 2022, esperti di sicurezza hanno scoperto una nuova famiglia di ransomware rappresentante una minaccia crescente per le organizzazioni a livello globale. Denominata BlueSky, la nuova minaccia prende di mira principalmente host Windows e sfrutta una tecnica di multithreading per una crittografia dei dati più rapida. Inoltre, il malware applica una varietà di tecniche avanzate di evasione e offuscamento per sfuggire al rilevamento e garantire alti tassi di infezione.
Secondo l’indagine di CloudSEK, la catena d’attacco inizia con un dropper PowerShell che scarica il payload BlueSky da hxxps://kmsauto[.]us/someone/start.ps1. Questo dominio falso, registrato a settembre 2020, imita un vecchio strumento di attivazione denominato KMSAuto Net Activator. Con un alto livello di fiducia, si ritiene operato da attori di minacce di origine russa.
Notevolmente, prima di rilasciare il payload finale BlueSky, il dropper PowerShell esegue un escalation dei privilegi locali sia con l’aiuto dello strumento JuicyPotato sia sfruttando le vulnerabilità CVE-2020-0796 e CVE-2021-1732. Quindi, il payload ransomware finale arriva sull’host della vittima come file javaw.exe, tentando di mascherarsi come un’applicazione Windows legittima.
Nella fase successiva dell’attacco, BlueSky cripta i file degli utenti aggiungendo l’estensione del file .bluesky . Il ransomware utilizza un approccio multithreading per garantire un processo di crittografia ultrarapida. Questa architettura multithread condivide somiglianze con la variante Conti v3, tuttavia, BlueSky applica algoritmi di crittografia diversi. La ricerca di Unit42 rivela che il ransomware BlueSky sfrutta ChaCha20 per la crittografia dei file e Curve25519 per le chiavi, il che ricorda la routine del ransomware Babuk.
Inoltre, il ransomware BlueSky sfrutta trucchi sofisticati di evasione. In particolare, gli operatori di ransomware codificano e crittografano campioni malevoli, utilizzano consegna e caricamento del payload multi-step, e adottano tecniche di offuscamento, come l’hashing delle API.
Man mano che gli attacchi ransomware crescono in portata e scala, i ricercatori di sicurezza necessitano di strumenti innovativi per rilevare minacce emergenti e rimanere un passo avanti agli attaccanti. Unisciti alla piattaforma Detection as Code di SOC Prime per individuare gli attacchi più recenti con la più grande collezione mondiale di regole Sigma, migliorare la copertura del log source e MITRE ATT&CK, e contribuire attivamente a potenziare le capacità di difesa informatica della tua organizzazione. I cacciatori di minacce esperti e gli ingegneri di rilevamento sono più che benvenuti a unirsi Programma Threat Bounty di SOC Prime – iniziativa di crowdsourcing di SOC Prime, per condividere i loro algoritmi di rilevamento con la comunità della sicurezza informatica, contribuire alla difesa informatica collaborativa e guadagnare pagamenti ricorrenti per il loro contributo.
