블랙 바스타 랜섬웨어 탐지: QBot과의 새로운 협력

QBot, 일명 Qakbot은 2007년부터 존재해왔으며, 그에 동반되는 위협 행위자 그룹인 Black Basta는 불과 몇 달 전인 2022년 4월에 처음 등장했습니다. Qakbot과 Black Basta 간의 최신 파트너십에 대한 통찰에 따르면 후자는 이 모듈식 정보 탈취기 를 사용하여 손상된 시스템을 통해 이동하고 지속성을 유지하며, 이 캠페인의 핵심 전략으로 측방 이동을 활용합니다. 증거에 따르면 위협 행위자는 Cobalt Strike 비콘을 피해자의 기계에 배포합니다.

Black Basta 랜섬웨어 탐지

네트워크를 위협할 수 있는 Black Basta의 악성 활동을 탐지하려면 다음과 같은 Sigma 규칙 을 SOC Prime의 Detection as Code Platform에서 사용하세요:

Black Basta 랜섬웨어를 탐지하기 위한 Sigma 규칙

비가입자는 Cyber Threat Search Engine을 통해 이용 가능한 Sigma 규칙 컬렉션을 탐색할 수 있습니다. Drill Down to Search Engine 버튼을 눌러 무료 SOC 콘텐츠를 위한 신속한 접근을 확인하세요.

등록된 보안 전문가들은 협업 사이버 방어를 위한 세계 최대이자 가장 진보된 플랫폼의 모든 잠재력을 활용합니다. SOC Prime Platform 보기 버튼 을 눌러 랜섬웨어 침투를 탐지하기 위한 최신 규칙들의 포괄적인 컬렉션에 액세스하세요.

SOC Prime Platform 보기 Drill Down to Search Engine

Black Basta 랜섬웨어 분석

Black Basta라는 애칭으로 알려진 유망한 랜섬웨어 그룹은 새로운 악성 도구와 해킹 기술을 채택하여 사이버 공격 분야의 새로운 지평을 정복하려는 열의를 보입니다. 랜섬웨어 공격 분야에서는 이제 갓 세력을 떨치려 했지만, 그들은 이미 전 세계적으로 이중 갈취 공격을 시작하여 고액 범죄에서 이름을 날렸습니다.

NCC Group 의 연구원들은 최근 Black Basta의 협력을 보고했습니다. 이 은행 트로이 목마는 악성 운영에 있어 놀라운 다재다능함으로 인해 스위스 군용 칼 악성 소프트웨어로 자주 불리며 랜섬웨어 공격에서 종종 드로퍼로 활용됩니다. Black Basta 적대 세력은 주로 손상된 환경 내에서 측방 이동 능력 때문에 이를 사용하여 손상된 네트워크 내 모든 호스트에 랜섬웨어 실행 파일을 드롭하는 것을 목표로 했습니다. 최신 캠페인에서 적대 세력이 손상된 장치에서 Windows Defender 프로세스를 종료한 것으로 현재 데이터는 나타냅니다. QBot. The banking trojan often referred to as a Swiss Army knife malware for its impressive versatility in malicious operations, is frequently leveraged as a dropper in ransomware attacks. Black Basta adversaries used it primarily for its ability to move laterally within a compromised environment with a goal to drop the ransomware executables onto all hosts within a compromised network. The current data indicates that within the latest campaign, adversaries kill Windows Defender’s processes on compromised devices.

보안 대응책을 강화하는 방법을 더 배우고 싶으세요? SOC Prime의 플랫폼 에 가입하여 업계 리더들이 만든 세계에서 가장 큰 탐지 콘텐츠 풀에 대한 접근을 열고 보안 생태계 내에서 효율성을 높이세요. SOC Prime은(는) 미국 보스턴에 본사가 있으며, 협업 사이버 방어를 가능하게 하기 위해 세계적인 경험을 가진 전문가 팀으로 운영됩니다.