Black Basta ランサムウェア攻撃の検出：FIN7グループに帰属する新しいカスタムツールを使用した最近の悪意のあるキャンペーン

The Black Basta ランサムウェアグループ は2022年4月にサイバー脅威の舞台で登場しました。このハッカー集団はサイバー攻撃の領域では比較的新しいと見なされるかもしれませんが、すでにアドバサリーツールキットを急速に進化させ、より高度なツールに適応することで悪名が高まっています。サイバーセキュリティの研究者は、Black Basta ランサムウェアの運営者の最近の活動を FIN7 ロシア関連のハッカー集団 に結びつけており、これは後者の攻撃能力に属する新しい防御障害ツールの使用に基づいています。

Black Bastaの最新攻撃を検出

比較的新しいBlack Bastaランサムウェアグループがその武器庫を強化し、新しいカスタムツールと手法を追加しているため、サイバーセキュリティの専門家は、かかる規模と影響のランサムウェア攻撃を阻止するために、タイムリーに関連する防御能力を備えておく必要があります。SOC PrimeのDetection as Codeプラットフォームは最近、新しい Sigmaルール を発表しました。これは、我々の有能なThreat Bounty開発者 Kyaw Pyiyt Htet (Mik0yan):

によって作成されたBlack Bastaランサムウェア攻撃検出用のものです。

このSigmaルールは、Black Bastaランサムウェア運営者がFIN7ハッカー集団と関連する最近の攻撃で使用した持続的なレジストリ実行キーを検出します。この検出は22のSIEM、EDR、およびXDR技術にわたって使用でき、 MITRE ATT&CK®フレームワーク に対応し、持続戦略および対応するブートまたはログオン自動開始実行（T1547）技術に対処しています。

サイバーセキュリティ業界は、次々と攻撃者と戦うことに決意した個々のハンターと検出エンジニアをつなげる役割を担っています。SOC Primeのクラウドソーシングイニシアティブは、業界の仲間を支援し、その貢献に対して報酬を得る素晴らしい機会を提供しています。参加しませんか Threat Bountyプログラム に加わり、SigmaやATT&CKのスキルを継続的に習得しながら、報酬を得て、自分の分野で違いを作り出しましょう。

Black Bastaランサムウェアの攻撃に対して積極的に防御する方法を探していますか？以下の Explore Detections ボタンをクリックして、現在および新たに発生しているBlack Bastaランサムウェア運営者に関連するあらゆるSigmaルールに即座にアクセスします。MITRE ATT&CKの参照、CTIリンク、関連するバイナリ、緩和策、その他のサイバー脅威コンテキストを詳しく調べてください。

Explore Detections

Black Bastaの説明: FIN7関連のランサムウェア攻撃

Black Bastaのアクター は半年以上にわたってサイバー脅威の舞台を席巻してきましたが、他のランサムウェアの維持者との関係は依然としてサイバー防御者にとって不明なままです。このグループは攻撃能力を急速に拡大しており、幅広いTTPを試行しています。Black Bastaは既知の脆弱性のセットを利用して特権昇格技術を使用します。例えば PrintNightmare and ZeroLogonを含んでいます。また、いくつかのRATを攻撃ツールキットに持ち、側方移動のために一連の敵対手法を適用しています。

2022年6月上旬に、サイバーセキュリティ研究者は彼らが QBot またはQakbotと協力し、悪名高いバックドアを側方移動のために利用し、さらに Cobalt Strike ビーコンを侵害されたマシンにデプロイするために使用している痕跡を発見しました。

SentinelLabsの研究者 は最近、Black Bastaランサムウェア運営者のTTPを分析し、FIN7として追跡されるロシア支援のハッカー集団に帰属できる新しい敵対ツールと技術を発見しました。 FIN7 またはCarbanakグループは、彼らが悪意のあるキャンペーンで適用したマルウェアの名前に基づいてそう名付けられました。

FIN7の脅威アクターが開発した新しい防御障害ツールを活用することにより、2つのハッカー集団の間の関係を確立することがサイバーセキュリティ研究者によって可能になりました。さらに、最近のBlack Bastaランサムウェアの作戦において、WindefCheck.exeやSocksBotとしても知られるBIRDDOGバックドアなどの一連のカスタムツールと悪意のあるサンプルを使用することで、敵対者間のさらなる関係を示しています。

急速に増加するランサムウェア攻撃に対して、積極的な検出は組織のサイバーセキュリティ体制を強化する鍵です。650以上のSigmaルールを入手して、現在および新たに発生しているランサムウェア攻撃を検出し、常に敵対者より一歩先を行きましょう。 30以上のルールを無料で入手 またはDemandsで完全な検出スタックを獲得するには http://my.socprime.com/pricing.