Rilevare gli Attacchi del Ransomware ALPHA SPIDER: TTP Utilizzate dagli Operatori di ALPHV noto come BlackCat RaaS

Il ransomware rimane una delle principali minacce per le organizzazioni a livello globale, con un costante aumento del volume e della sofisticazione degli attacchi. Tra i principali attori nell’arena del ransomware, il gruppo ALPHA SPIDER si distingue prendendo il merito di una serie di recenti attacchi di alto profilo che hanno colpito il processore di pagamento del settore sanitario statunitense Change e l’industria del gioco d’azzardo MGM. In vista del fatto che ALPHA SPIDER rappresenta una minaccia significativa a causa della sua massiccia presenza nel mondo cibernetico, il Dipartimento di Giustizia degli Stati Uniti ha annunciato un’operazione internazionale delle forze dell’ordine mirata a sequestrare le operazioni di ALPHV (alias BlackCat) seguita da un dettagliato avviso CISA nell’ambito dell’iniziativa #StopRansomware.

Rileva Attacchi Ransomware ALPHA SPIDER (alias ALPHV, BlackCat)

Dopo essere emerso per la prima volta all’inizio del 2020, ALPHA SPIDER si è rapidamente autoproclamato come un nuovo leader del ransomware-as-a-service (RaaS), attirando molta attenzione a causa di molteplici obiettivi di alto profilo, capacità malevole sofisticate e generosa offerta per gli affiliati.

Per rimanere un passo avanti rispetto ai potenziali attacchi ALPHV, i difensori informatici richiedono strumenti avanzati per la rilevazione delle minacce e la caccia arricchiti con algoritmi di rilevazione curati che affrontano i TTP degli avversari. La piattaforma di SOC Prime aggrega un insieme di regole Sigma rilevanti compatibili con 28 tecnologie SIEM, EDR, XDR e Data Lake per identificare le attività malevole associate ad ALPHV alias BlackCat.

Basta premere il pulsante Esplora Rilevamenti qui sotto e accedi immediatamente allo stack di rilevamento esteso per identificare i TTP correlati alle ultime campagne di ALPHA SPIDER. Tutte le regole sono mappate al framework MITRE ATT&CK v14.1 e arricchite con dettagliate informazioni sulle minacce.

Esplora Rilevamenti

Per semplificare l’investigazione delle minacce e potenziare le operazioni SOC, i professionisti della sicurezza possono accedere a una collezione più ampia di regole Sigma affrontando attività malevole correlate cercando SOC Prime con tag ‘ALPHV‘ e ‘BlackCat‘.

Analisi degli Attacchi Ransomware Alphv/BlackCat

I nefasti operatori di ransomware ALPHV (BlackCat, ALPHA SPIDER) sono stati al centro dell’attenzione nel campo delle minacce informatiche dall’autunno 2021, puntando una vasta gamma di settori industriali e arricchendo continuamente il loro kit di strumenti avversari. Si ritiene che BlackCat rappresenti la prossima generazione delle gang di ransomware DarkSide or BlackMatter , il che indica un livello sofisticato di competenza e abilità dei suoi affiliati. Nell’ultimo anno, gli hacker di ALPHV sono stati osservati mentre impiegavano una serie di nuove tecniche avversarie e metodi innovativi come componenti delle loro attività di ransomware.

Il RaaS ALPHV si distingue per essere scritto nel linguaggio di programmazione Rust e fornisce una gamma di capacità destinate ad attirare affiliati avanzati. Queste includono varianti di ransomware che colpiscono più sistemi operativi, una variante altamente personalizzabile per l’evasione del rilevamento, un database ricercabile ospitato su un dominio web chiaro, un sito di leak dedicato e l’integrazione di un mixer Bitcoin nei pannelli affiliati. Secondo le ultime ricerche di CrowdStrike, gli operatori di Alphv hanno sfruttato le versioni Linux di Cobalt Strike e SystemBC per condurre ricognizioni dei server VMware ESXi prima di avviare la distribuzione del ransomware.

ALPHV/BlackCat è una gang di ransomware altamente prolifica che si è attribuita il merito di numerosi attacchi di alto profilo, come quelli contro il gigante del gioco MGM Resorts e il fornitore di software per pagamenti sanitari Change Healthcare. L’ultimo attacco condotto il mese scorso ha provocato gravi interruzioni di servizio per le organizzazioni sanitarie come le farmacie.

Nella fase iniziale dell’attacco, gli affiliati ALPHV sfruttano un paio di vulnerabilità identificate come CVE-2021-44529 e CVE-2021-40347 per ottenere l’accesso iniziale e la persistenza all’interno della rete target. Successivamente, gli avversari impiegano Nmap, l’infida utility di scansione di rete, per eseguire operazioni di scoperta della rete, insieme a specifici script Nmap per eseguire una scansione mirata delle vulnerabilità. Sono stati anche osservati mentre tentavano di sfruttare un’altra vulnerabilità RCE tracciata come CVE-2021-21972 e si addentravano ulteriormente in attività di ricognizione della rete. Inoltre, ALPHV ha abusato dello strumento di backup Veeam dopo il loro movimento laterale iniziale e ha sfruttato lo script PowerShell di Veeam Credential Recovery per rubare le credenziali degli utenti direttamente dal database Veeam.

Con l’aumento del volume degli attacchi ransomware che colpiscono il settore sanitario, l’OCR del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha recentemente pubblicato una lettera affrontando l’incidente di cybersecurity che ha interessato Change Healthcare, insieme a numerose altre entità sanitarie, che mira a sensibilizzare sulla cybersecurity all’interno di questo settore industriale altamente vulnerabile agli attacchi ransomware. Nell’ultimo decennio c’è stato un aumento del 264% degli attacchi ransomware segnalati all’OCR, che rafforza la necessità di potenziare le capacità difensive proattive all’interno delle organizzazioni sanitarie degli Stati Uniti.

Con un numero crescente di tendenze e intrusioni sempre più sofisticate, il ransomware rappresenta la principale sfida per la maggior parte delle organizzazioni dal 2021, comprese le grandi imprese. Sfruttando Attack Detective, scoprire gli attacchi ransomware e identificare tempestivamente potenziali intrusioni diventa più veloce, facile ed efficiente. Affidati al sistema che assicura una visibilità completa della tua superficie di attacco e fornisce algoritmi di rilevamento basati sul comportamento o IOC su misura per la tua soluzione di sicurezza in uso senza spostare i tuoi dati, supportato da ATT&CK che agisce come un algoritmo di correlazione centrale.