Black Basta ランサムウェア検知: QBotとの新たな協力

QBot、別名Qakbotは、2007年以来存在し、その仲間である脅威アクターグループBlack Bastaは、ほんの数か月前の2022年4月に初めて出現しました。QakbotとBlack Bastaのパートナーシップに関する最新の洞察によれば、後者はこのモジュラー 情報窃取者 を使用して侵害されたシステムを移動し、持続性を維持し、このキャンペーンでのコア戦術として横移動を使用しています。証拠は、脅威アクターが被害者のマシンに Cobalt Strike ビーコンを展開したことを示しています。

ブラックバスタランサムウェアを検出する

ネットワークを危険にさらす可能性のあるBlack Bastaの悪意ある活動を検出するには、次のセットの Sigmaルール を使用して、SOC PrimeのDetection as Codeプラットフォームで入手可能です：

ブラックバスタランサムウェアを検出するためのSigmaルール

未登録のユーザーは、サイバー脅威検索エンジンを通じて利用可能なSigmaルールのコレクションを閲覧できます。「 Drill Down to Search Engine 」ボタンを押して、無料のSOCコンテンツのワンストップショップにアクセスしてください。

登録済みのセキュリティ専門家は、世界最大かつ最先端の協働サイバー防御プラットフォームのフルポテンシャルを活用しています。「 SOC Primeプラットフォームで表示する 」ボタンを押して、ランサムウェア侵入を検出するための最新のルールの網羅的なコレクションにアクセスしてください。

SOC Primeプラットフォームで表示 Drill Down to Search Engine

ブラックバスタランサムウェア分析

Black Bastaという別称で知られる多作なランサムウェアグループは、サイバー攻撃の新たな地平を切り開く熱意を示し、新しいマルウェアツールやハッキング技術に適応しています。ランサムウェア攻撃の分野では初心者ですが、すでに高額の犯罪で名を上げ、世界中で二重恐喝攻撃を展開しています。

NCC Groupの 研究者たちは、最近のBlack Bastaの QBotとの協力を報告しました。このバンキングトロイの木馬は、その驚くべき多様性により、「万能ナイフ」とも呼ばれ、ランサムウェア攻撃のドロッパーとして頻繁に利用されます。Black Bastaの敵対者は、主に侵害された環境内で横移動する能力を活用し、ランサムウェア実行ファイルを侵害されたネットワーク内のすべてのホストにドロップすることを目的としています。現在のデータでは、最新のキャンペーンで敵対者が侵害されたデバイスでWindows Defenderのプロセスを終了していることが示されています。

セキュリティ対抗策をさらに強化する方法を知りたいですか？ SOC Primeプラットフォーム に参加し、業界リーダーによって作成された検出コンテンツの世界最大のプールにアクセスを解放し、セキュリティエコシステムの効率を向上させます。 SOC Primeは、米国ボストンに本社を置き、国際的な熟練した専門家チームによって運営され、共同サイバー防御を可能にしています。