BlackByte ランサムウェア検知：新たな警鐘

連邦捜査局 (FBI) とアメリカ合衆国シークレットサービス (USSS) は、BlackByte Ransomware-as-a-Service (RaaS) 組織の活動に関する共同のサイバーセキュリティ勧告を発表しました。BlackByte ランサムウェアは、主にアメリカ合衆国所在の企業を標的に使用されています。最大の損害は州の施設、金融サービス、食品および農業といった重要インフラ部門に重くのしかかっています。

BlackByte ランサムウェアの軽減策

現在のデータによると、攻撃者は Microsoft Exchange Server の脆弱性を活用して被害者の環境にアクセスしたとされています。BlackByte ランサムウェアに関連する振る舞い、例えばレジストリの変更を試みて権限を昇格させようとする行動を特定するには、以下の脅威検出コンテンツを使用してください。

BlackByte ランサムウェアの振る舞い – 2022年2月 (プロセス作成経由)

この検出には以下の SIEM、EDR & XDR プラットフォームの翻訳があります: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, and AWS OpenSearch.

このルールは最新の MITRE ATT&CK® フレームワーク v.10 に準拠しており、主要なテクニックとしてデータを暗号化しての影響 (T1486) により、インパクト戦術に対応しています。

BlackByte ランサムウェアがレジストリを変更して権限を昇格させます

この検出には以下の SIEM、EDR & XDR プラットフォームの翻訳があります: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, and AWS OpenSearch.

このルールは最新の MITRE ATT&CK® フレームワーク v.10 に準拠しており、主要なテクニックとしてレジストリの変更 (T1112) により、防御回避戦術に対応しています。

これらのルールは、私たちの優れた脅威賞金開発者によって提供されています Sittikorn Sangrattanapitak and Nattatorn Chuensangarunが、出現する脅威をしっかりと監視しています。

SOC Prime プラットフォームの Threat Detection Marketplace リポジトリにある検出の完全なリストは こちらです。独自の Sigma ルールを作成したいですか？私たちの脅威賞金プログラムに参加して、貴重な貢献に対する報酬を得てください。

検出を見る 脅威賞金に参加する

BlackByte ランサムウェア攻撃

この脅威は2021年7月に初めて浮上し、 再び アメリカ、ヨーロッパ、オーストラリアに対する複数の攻撃を伴って隔月で現れています。現在、BlackByte RaaS は、FBIとUSSSの共同勧告によれば、被害者のネットワークへの初期アクセスを獲得するために Microsoft Exchange Server の脆弱性を利用していることが知られています。 共同勧告.

環境が侵害されると、敵対者はシステム内に持続的な存在を確立し、特権を昇格させた後にファイルを抽出および暗号化することを目指します。BlackByte ランサムウェアのオペレーターは、場合によってはデータを部分的にしか暗号化しないことがあります。復号化が不可能な場合、データの回復は可能です。BlackByte ランサムウェアは c:windowssystem32 および C:Windows から実行ファイルを実行します。このランサムウェアの最新バージョンの新機能は、成功した暗号化を行うために外部のIPアドレスとの通信を必要としないことです。

Tor ネットワークを通じて身代金を支払うように被害者に促すメモは、攻撃の不可欠な部分です。最新の報告書では、FBI はランサムウェアの被害者に対し支払いを控えるよう促しています。なぜなら、支払ってもデータが回復される保証はなく、代わりにハッカーにさらに攻撃を仕掛けるように奨励することになるからです。被害者には攻撃を報告してランサムウェアのオペレーターを追跡するための手立てを取るよう助言されています。

同じことを何度も言うようですが、脅威の予防と検出が極めて重要であることは言うまでもありません。SOC Prime の Detection as Code プラットフォームに無料でサインアップして、業界のベストプラクティスと共有された専門知識を使って、脅威の検出をより簡単に、より速く、そしてより効率的に行ってください。この プラットフォームは SOC のプロフェッショナルが自分の作成した検出コンテンツを共有し、一流のイニシアティブに参加し、その入力を収益化することも可能にします。