BlueSkyランサムウェアの検出：Windowsホストを標的にし、マルチスレッド化でより速い暗号化を実現

BlueSkyランサムウェアは、高度な分析回避能力を備えた急速に進化するマルウェアファミリーで、常に回避手法を強化しています。BlueSkyランサムウェアはWindowsのホストを対象とし、高速なファイル暗号化のためにマルチスレッド技術に依存しています。サイバーセキュリティ研究者は、公開されたランサムウェアパターンを悪名高い Contiランサムウェアグループの敵対活動に帰しています。特に、BlueSky悪質なスレインのマルチスレッドコード構造は、 Contiギャングランサムウェアの第三版に類似しており、マルチスレッディングと高度な回避手法に基づく拡張暗号化ルーチンが適用されています。

BlueSkyランサムウェアを検出する

組織の環境でのBlueSkyランサムウェア株からのタイムリーな保護を保証するために、SOC Primeのプラットフォームは、私たちの優秀なThreat Bountyコンテンツ貢献者 Kyaw Pyiyt Htet（Mik0yan）によって開発された新しいSigmaルールを最近リリースしました。以下のリンクをたどり、専用の Sigmaルール に直接アクセスし、包括的なコンテクストメタデータと共にSOC PrimeのCyber Threats Search Engineから利用できます。

関連するレジストリキーの検出によるBlueSkyランサムウェア持続活動の可能性 (Registy_Eventを通じて)

このSigmaベースの脅威ハンティングクエリは、BlueSkyランサムウェアに関連するレジストリキーを検出します。この検出は、SOC Primeのプラットフォームがサポートする22のSIEM、EDR、およびXDRソリューションに変換可能であり、 MITRE ATT&CK®フレームワーク のPersistenceとDefense Evasionの戦術に合致し、対応するブートまたはログオン自動起動実行（T1547）およびレジストリの変更（T1112）技術を扱っています。

Using SOC PrimeのQuick Huntモジュールを使用すると、サイバーセキュリティ実務者は上記のクエリをSIEMまたはEDR環境で実行して、BlueSkyランサムウェアに関連する敵対活動を即座に検索できます。

協力的なサイバーディフェンスに貢献する意欲のある経験豊富な検出エンジニアですか？SOC Primeの Threat Bountyプログラムに参加し、独自のSigmaルールを送信して公開し、継続的な報酬を得ながら世界を安全な場所にすることができます。

急速に進化するランサムウェア攻撃に遅れずについて行くために、セキュリティチームは以下の Detect & Hunt ボタンをクリックしてSOC Primeのプラットフォームで利用可能な関連Sigmaルールの全コレクションを活用できます。未登録のSOC Primeユーザーもまた、サイバースレットサーチエンジンからランサムウェアに関連する包括的なコンテキスト情報を探索し、MITRE ATT&CKおよびCTIリファレンス、その他の関連メタデータを含む詳細情報を確認できます。 脅威コンテキストを探索する 以下のボタンをクリックしてください。

Detect & Hunt 脅威コンテキストを探索する

BlueSkyランサムウェアの分析

2022年8月初旬、セキュリティ専門家は、組織にますます脅威を及ぼす新しいランサムウェアファミリーを発見しました。BlueSkyと呼ばれるこの新しい脅威は、主にWindowsホストを標的とし、高速データ暗号化のためにマルチスレッディング技術を利用しています。さらに、マルウェアは巧妙な回避および難読化手法を駆使してレーダーの下を飛行し、高い感染率を確保します。

による調査によれば、攻撃のキルチェーンは、BlueSkyのペイロードを CloudSEKによる調査からダウンロードするPowerShellドロッパーで始まります。 hxxps://kmsauto[.]us/someone/start.ps1。 2020年9月に登録されたこの偽のドメインは、KMSAuto Net Activatorと呼ばれる古いアクティベーションツールを装っています。このドメインは、ロシア系の脅威アクターによって運用されていると高いレベルで確信されています。

特に、最終的なBlueSkyペイロードをドロップする前に、PowerShellドロッパーはJuicyPotatoツールを使用するか、CVE-2020-0796とCVE-2021-1732の脆弱性を悪用してローカル権限昇格を実行します。その後、最終的なランサムウェアペイロードが被害者のホストに、正当なWindowsアプリケーションを装った javaw.exeファイルとして着地します。

攻撃の次の段階で、BlueSkyはユーザーのファイルを暗号化し、 .bluesky ファイル拡張子を追加します。ランサムウェアはマルチスレッディングアプローチを利用して超高速の暗号化プロセスを確実にします。このマルチスレッドアーキテクチャはConti v3株と類似していますが、BlueSkyは異なる暗号化アルゴリズムを適用します。 Unit42の研究 は、BlueSkyランサムウェアがファイル暗号化にChaCha20を、キーベースにはCurve25519を利用していることを明らかにしており、これはBabukランサムウェアルーチンに似ています。

また、BlueSkyランサムウェアは高度な回避技術を駆使しています。特に、ランサムウェアオペレーターは悪性サンプルをコード化および暗号化し、マルチステージのペイロード配信とロードを活用し、APIハッシングなどの難読化技法を採用しています。

ランサムウェア攻撃の範囲と規模が拡大する中、セキュリティ研究者は新たな脅威を検出し、攻撃者に一歩先んじるための革新的なツールを必要としています。世界最大のSigmaルールコレクションを備えた SOC PrimeのDetection as Codeプラットフォーム に参加し、最新の攻撃を特定し、ログソースとMITRE ATT&CKカバレッジを向上させ、組織のサイバー防御能力を積極的に強化しましょう。経験豊富な脅威ハンターや検出エンジニアの参加を大いに歓迎します Threat Bountyプログラム – SOC Primeのクラウドソーシングイニシアティブでは、彼らの検出アルゴリズムをサイバーセキュリティコミュニティと共有し、協力的なサイバーディフェンスに貢献し、その貢献に対して繰り返しの報酬を得ることができます。