Rilevamento della Campagna Malware QakBot che Porta a Infezioni da Ransomware Black Basta

Il ransomware è una minaccia numero uno che rappresenta un pericolo significativo per i difensori della sicurezza in tutto il mondo, con la tendenza degli attacchi in costante crescita durante il 2021-2022. Recentemente, esperti di sicurezza hanno rivelato una massiccia campagna di malware QakBot che prende di mira sempre più i fornitori con sede negli Stati Uniti per distribuire il ransomware Black Basta. 

Durante l’ultima decade di novembre 2022, almeno 10 aziende negli Stati Uniti sono state vittime di una serie di attacchi aggressivi. In tutti i casi, QakBot (alias QBot o Pinkslipbot) agisce come punto di ingresso iniziale per gli operatori di Black Basta che si affidano alla variante malevola per mantenere la persistenza nella rete bersagliata. 

Rileva le infezioni di ransomware Black Basta utilizzando il malware QakBot

Con il relativamente nuovo Black Basta l’anello RaaS che potenzia il proprio arsenale arricchendolo con strumenti e tecniche personalizzati innovativi, gli esperti di sicurezza informatica devono essere tempestivamente equipaggiati con capacità difensive rilevanti per sventare attacchi ransomware di tale portata e impatto. La piattaforma Detection as Code di SOC Prime aggrega un insieme di regole Sigma dai nostri sviluppatori esperti di Threat Bounty Osman Demir and Zaw Min Htun per rilevare il ransomware Black Basta che si affida a QakBot per l’infezione. 

Possibile Attacco Black-Basta [QakBot] (novembre 2022) Attività di Movimento Laterale tramite il Rilevamento di Processo Associato (via process_creation)

Questa regola rileva l’esecuzione del payload di Cobalt Strike con i comandi rundll32.exe SetVolume. Il rilevamento supporta le traduzioni in 20 piattaforme SIEM, EDR & XDR ed è allineato con il framework MITRE ATT&CK® affrontando la tattica di Evasione delle Difese con la tecnica corrispondente di Esecuzione di Proxy Binari Firmati (T1218).

Esecuzione di una Campagna Qakbot Aggressiva Sospetta tramite Rilevamento di Comandi Associati [Presa di mira di Aziende U.S.A.] (via powershell)

La regola sopra rileva il comportamento malevolo associato a PowerShell utilizzato durante l’ultima campagna di QakBot per interrogare le informazioni contro i Servizi di Dominio di Active Directory con la classe System.DirectoryServices.DirectorySearcher. Il rilevamento supporta le traduzioni in 13 piattaforme SIEM, EDR & XDR ed è allineato con il framework MITRE ATT&CK affrontando la tattica di esecuzione con le tecniche corrispondenti di PowerShell (T1086) e Interprete di Comandi e Script (T1059).

Professionisti esperti di cybersecurity che cercano di arricchire le loro competenze in Ingegneria del Rilevamento e Caccia alle Minacce possono unirsi ai ranghi del nostro Programma Threat Bounty per dare il proprio contributo alla conoscenza collettiva dell’industria. La partecipazione al Programma consente agli autori di contenuti di rilevamento di monetizzare le proprie competenze professionali mentre aiutano a costruire un futuro digitale più sicuro. 

Per tenersi al passo con gli attacchi di ransomware Black Basta e malware QakBot in rapida evoluzione, i team di sicurezza possono sfruttare l’intera raccolta di regole Sigma rilevanti disponibili sulla piattaforma di SOC Prime facendo clic sui pulsanti qui sotto.

Esplora Rilevamenti QakBot Esplora Rilevamenti Black Basta

Analisi della Campagna di Malware QakBot dal Gruppo di Ransomware Black Basta

L’ultimo studio di Cybereason rivela che QakBot agisce come punto di ingresso iniziale durante gli attacchi di Black Basta contro aziende U.S.A. L’attacco inizia tipicamente con un’email spam o di phishing contenente un file immagine disco malevolo. Se aperto, il file attiva l’esecuzione di QakBot, seguita dal payload di Cobalt Strike recuperato dal server remoto. 

Nella fase successiva, il malware esegue attività di raccolta delle credenziali e movimento laterale finalizzate a compromettere il maggior numero possibile di endpoint con i dati di accesso raccolti. Infine, il payload di ransomware Black Basta viene inserito nella rete bersaglio. 

È degno di nota che, in diversi attacchi osservati, gli operatori della campagna hanno disabilitato i servizi DNS per escludere la vittima dalla rete e rendere il processo di recupero quasi impossibile. 

Non è la prima volta che i mantenitori di Black Basta si affidano a QakBot per proseguire con azioni malevole. Nell’ottobre 2022, la gang di ransomware è stata osservata utilizzare QakBot per fornire il framework Brute Ratel C4 utilizzato per distribuire Cobalt Strike. L’ultima serie di attacchi informatici dimostra solo un significativo cambiamento nelle operazioni di QakBot essendo rivisitato per installare framework di attacco e vendere accesso a vari attori di minaccia. 

Con un numero di attacchi ransomware in rapida crescita, il rilevamento proattivo è la chiave per rafforzare la postura di sicurezza informatica dell’organizzazione. Ottieni oltre 650 regole Sigma per identificare attacchi ransomware attuali ed emergenti e rimani sempre un passo avanti agli avversari. Raggiungi 30+ regole gratisf o ottieni l’intero stack di rilevamento su richiesta a http://my.socprime.com/pricing.