BlackCatランサムウェア検出：Rustで書かれた不運

敵対者は、米国、ヨーロッパ、オーストラリア、インド、フィリピンの組織を攻撃するために、Rustで書かれた新しいランサムウェアを持ち込み、熱を高める新しい手段を探しています。ALPHV BlackCatランサムウェア開発者は、3rdパーティのフレームワーク/ツールセット（例：Cobalt Strike）を通じて、または脆弱なアプリケーションを悪用して、WindowsとLinuxのOSをターゲットにしています。

BlackCatギャングは、RAMP、XSS、Exploitのようなフォーラムでハッカーを積極的に募集し、印象的な身代金支払いのシェアで彼らを誘っています。

BlackCatランサムウェアの攻撃ルーチン

情報によると Palo Altoの分析、このランサムウェアはその適応性で際立っており、攻撃者が各ターゲットに合わせて調整することで、損害を増加させることができます。 BlackCatの脅威アクターは様々な戦術と暗号化ルーチンを利用しています。このランサムウェアは、4つの異なる 暗号化モード:

1. フルファイル暗号化
2. ファスト（最初のNメガバイトのみ暗号化）
3. ドットパターン（NメガバイトがMステップで暗号化される）
4. オート（ロッカー内でファイルを処理）

現在のデータは、BlackCatを利用する脅威アクターが、複数の恐喝技術を用いて被害者のデータを2重・3重恐喝スキームで盗み、機密情報を漏らすと脅し、分散型サービス妨害（DDoS）攻撃を開始していることを示しています。

ランサムウェアは、一部のプロセスやサービスを終了して暗号化を妨げる可能性がある設定プロセスを持っています。その結果、仮想マシンとESXi VMの運転をシャットダウンし、ESXiスナップショットを削除して回復を妨害または防ぎます。BlackCatは、暗号化されたデバイスごとにランダムな拡張子を使い、それをすべてのファイルに追加し、身代金の請求書に含めます。それはTorを介して攻撃者の支払ポータルに接続するよう感染したユーザーに促し、要求される身代金はBitcoinまたはMoneroである。

BlackCatのような報告された攻撃

ハッカーがマルウェアを作成するために使用する言語のレパートリーを広げる傾向が高まっていることを目にしています。新しいセキュリティ保護を回避し、分析を避け、回避成功の可能性を高めるために、Dlang、Go、Nim、Rustで書かれたマルウェアを使用するケースが増えています。「新世代のランサムウェア」とラベリングされたBlackCatは、DarkSideの後継者である BlackMatter ランサムウェアに似た行動要素を示します。数多くの類似点があるにもかかわらず、ALPHV BlackCatランサムウェアは、特に企業侵入を目的としたRaaSプログラムよりも際立った革新的な特徴があります。BlackCatのオペレーターは、前任者のRaaSから学び、新しい感染ベクター、新たな実行オプション、特に攻撃的な命名と名誉毀損キャンペーンを採用しています。

BlackCat緩和策

ALPHVは2021年11月中旬に最初に出現し、業界全体で被害者を積極的に狙っています。残念ながら、かなり成功しています。報告によると、被害者はファイルを取り戻すために最大1,400万ドルを支払うように求められています。

会社のインフラストラクチャをBlackCat攻撃から保護するために、熟練した脅威ボウンティ開発者によって開発された無料のSigmaルールセットをダウンロードできます エミル・エルドアン and カーン・イェニヨル、彼らはトリックを見逃しません。

BlackCatランサムウェア検出（via cmdline）

この検出には、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Microsoft Defender ATP、Securonix、Apache Kafka ksqlDB、Carbon Black、Open Distro、AWS OpenSearchのSIEM、EDR、XDRプラットフォームの翻訳が含まれています。

このルールは、最新のMITRE ATT&CK®フレームワークv.10に準拠しており、コマンドと制御、実行、影響、情報漏洩の戦術をアプリケーションレイヤープロトコル（T1071）、コマンドとスクリプトインタープリタ（T1059）、影響用データ暗号化（T1486）、データ転送サイズ限界（T1030）を主な技術として扱っています。

BlackCatランサムウェアの実行と再コンUUID

この検出には、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、LimaCharlie、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Chronicle Security、Securonix、Apache Kafka ksqlDB、Open Distro、AWS OpenSearchのSIEM、EDR、XDRプラットフォームの翻訳が含まれています。

このルールは、最新のMITRE ATT&CK®フレームワークv.10に準拠しており、実行、防御回避、発見の戦術を、コマンドとスクリプトインタープリタ（T1059）、間接コマンド実行（T1202）、システムサービス発見（T1007）を主な技術として扱っています。

SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリにある検出の完全なリストは ここ.

SOC PrimeのDetection as Codeプラットフォームに無料でサインアップして、セキュリティ環境内の最新の脅威を検出し、ログソースとMITRE ATT&CKカバレッジを向上させ、攻撃に対する防御をより簡単に、迅速に、効率的にします。サイバーセキュリティに精通した方々は、コミュニティとキュレート済みSigmaルールを共有し、定期的な報酬を得るためにThreat Bountyプログラムに参加することが歓迎されます。

プラットフォームに移動 Threat Bountyに参加