BlackCatランサムウェア攻撃：脅威アクターがBrute RatelとCobalt Strikeビーコンを使用した高度な侵入手法

サイバーセキュリティ研究者は、その悪名高い BlackCatランサムウェアグループ が、より洗練された侵入のためにカスタムマルウェアバイナリを展開している新たな活動波を明らかにしました。最新の攻撃では、脅威アクターが Cobalt Strikeビーコン と Brute Ratelという新しいペネトレーションテストツールを活用しており、後者をWindowsサービスとして侵害されたマシンにインストールしています。

BlackCatランサムウェア攻撃の検出

絶えず変化する脅威の状況を把握し、増加する量と洗練度を持つ攻撃に効果的に耐えるために、世界中の組織はサイバー防衛能力を強化する方法を模索しています。ランサムウェアは 依然として増加傾向にあり 、サイバー脅威の場で2021-2022年に台頭しています。サイバーセキュリティ専門家は関連脅威に対抗するために努力しています。SOC PrimeのDetection as Codeプラットフォームは最近、新しい Sigmaルール をリリースし、最新のBlackCatランサムウェアオペレーションで展開されたBrute Ratelの悪意のあるツールを検出します。我々の多産なThreat Bounty開発者 Kyaw Pyiyt Htet (Mik0yan):

が作成した検出ルールにアクセスするには、SOC Primeのプラットフォームにサインアップまたはログインしてください。

BlackCatランサムウェアオペレーションでの可能性のあるBrute Ratel 名前付きパイプ作成 (via Pipe_Event) サイバーセキュリティに対する鋭い嗅覚と自己向上への野心を持つ経験豊富で有望なサイバー防御者は、我々の サイバーセキュリティに対する鋭い嗅覚と自己向上への野心を持つ経験豊富で有望なサイバー防御者は、我々の

に参加して、検出アルゴリズムを作成し、業界の仲間と共有し、その貢献に対して認識と金銭的報酬を得るよう招かれています。上記のSigmaルールは、SOC Primeのプラットフォームがサポートする18のSIEM、EDR、およびXDRソリューション全体で適用可能です。関連する脅威への可視性を強化するために、この検出は MITRE ATT&CK®フレームワーク に沿っており、防御回避戦術のプロセスインジェクション (T1055) 技法に対処しています。また、サイバーセキュリティの専門家は、SOC Primeの Quick Huntモジュール. 

を介して上記のSigmaルールを使用して、BlackCatランサムウェアオペレーションに関連する脅威を即座にハントすることもできます。SOC Primeのプラットフォームは、BlackCatランサムウェアの活動をタイムリーに特定するのを支援するために、検出アルゴリズムの完全なリストをキュレートしています。専用ツールキットにアクセスするには、 Detect & Hunt ボタンをクリックしてください。代わりに、Threat Hunters、サイバー脅威インテリジェンスの専門家、その他のサイバー防御者は、登録せずにBlackCatランサムウェアオペレーションの背後にある包括的な脅威のコンテキストを探ることができます。「 Explore Threat Context」ボタンをクリックして、MITRE ATT&CK参照、CTIリンク、および関連する脅威の検索に伴うSigmaルールにリンクされたWindows実行可能バイナリを含む有益なコンテキスト情報にアクセスしてください。

Detect & Hunt 脅威のコンテキストを探る

BlackCat分析: 最新情報

2021年11月に初めて登場した後、BlackCat (別名Alphv)は、新しいランサムウェア・アズ・ア・サービス (RaaS) リーダーとしてすぐに自らを宣言し、その異常なRustコーディング言語、洗練された悪意のある能力、および加盟者が身代金の90%を保持できる寛大な提供のために多くの注目を集めました。セキュリティ研究者は、BlackCatが DarkSide or BlackMatter ランサムウェアグループの後継者である可能性があり、オペレーターの複雑なスキルセットを示唆していると考えています。

最近の Sophosによる調査 によると、BlackCatのメンテナーは新しいトリックを用いてマルウェアの系統を強化し続けています。脅威アクターは通常、未修正または古いファイアウォールやVPNサービスを利用して、露出したネットワークの初期の足掛かりを得たり、VPNの資格情報を取得して権限あるユーザーとしてログインしたりします。感染後、BlackCatのリモートアクセス機能を強化するために、さまざまなオープンソースおよび市販のツールが活用されます。特に最新の侵入の分析によると、脅威アクターはTeamViewer、nGrok、Cobalt Strike、およびBrute Ratelを利用して、代替のアクセスルートを確保しました。Sophosによれば、Cobalt Strikeに似た機能を持つBrute Ratelペンテスティングスイートは、追跡を逃れるためのポストエクスプロイト能力を強化する最新の取得物です。

Upon the infection, various open source and commercially available tools are leveraged to boost the remote access capabilities of BlackCat. Particularly, the analysis of the latest intrusions shows that threat actors utilized TeamViewer, nGrok, Cobalt Strike, and Brute Ratel to ensure alternative access routes. According to Sophos, the Brute Ratel pentesting suite with Cobalt Strike-like features is the latest acquisition to enhance post-exploitation capabilities while flying under the radar.

BlackCatの悪名に加えて、ランサムウェアオペレーターは犠牲者に対する身代金要求を引き上げるようになっています。ギャングは通常、OilTanking GmbH、Swissport、フロリダ国際大学、ノースカロライナA&T州立大学などのハイプロファイルなターゲットを狙います。身代金の要求は時間とともに増加し、現在$2,5Mに達しており、迅速な支払いが行われた場合、50%の割引が可能です。

トレンドの増加とより洗練された侵入が増える中、ランサムウェアは2021年にほとんどの組織、特に大規模な企業にとって最大の課題と見なされています。 SOC PrimeのDetection as Codeプラットフォーム に登録し、200,000以上の検出アルゴリズムのコレクションにアクセスして、新たな脅威に対して積極的に防御してください。