BlackByte 랜섬웨어 탐지: 새로운 각성의 신호

미국 연방수사국(FBI)과 미 비밀경호국(USSS)이 BlackByte Ransomware-as-a-Service (RaaS) 갱단의 활동과 관련하여 공동 사이버 보안 권고를 발표했습니다. BlackByte 랜섬웨어는 미국에 위치한 기업들을 주요 대상으로 사용되어 왔습니다. 가장 큰 비용은 주 시설, 금융 서비스, 식품 및 농업과 같은 중요 기반 시설 부문에 크게 부담을 줍니다.

BlackByte 랜섬웨어 완화

현재 데이터에 따르면 공격자는 Microsoft Exchange Server 결함을 활용하여 피해자의 환경에 접근했을 것으로 추정됩니다. 권한 상승을 위한 레지스트리 수정 시도의 탐지를 포함하여 BlackByte 랜섬웨어와 관련된 행동을 식별하려면 다음과 같은 위협 탐지 콘텐츠를 사용하십시오:

BlackByte 랜섬웨어의 행동 – 2022년 2월 (프로세스 생성 통해)

이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼을 위한 번역이 포함되어 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, Data Encrypted for Impact (T1486)를 주 기법으로 하여 Impact 전술을 다룹니다.

BlackByte 랜섬웨어는 권한 상승을 위해 레지스트리를 수정합니다

이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼을 위한 번역이 포함되어 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, Modify Registry (T1112)를 주요 기법으로 하여 Defense Evasion 전술을 다룹니다.

규칙은 날카로운 Threat Bounty 개발자들에 의해 제공됩니다 Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, 신흥 위협을 면밀히 주시합니다.

SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에서 탐지의 전체 목록을 확인할 수 있습니다 여기. 자신의 Sigma 규칙을 작성하고 싶으신가요? Threat Bounty 프로그램에 참여하여 귀중한 기여에 대한 보상을 받으세요.

탐지 보기 Threat Bounty 참여

BlackByte 랜섬웨어 공격

이 위협은 2021년 7월에 처음 등장했으며, 매달 여러 차례 미국, 유럽, 호주에 대한 공격을 포함하며 재등장하고 있습니다. 현재 BlackByte RaaS는 FBI 및 USSS의 공동 권고에 따르면 Microsoft Exchange Server 결함을 활용해 피해자의 네트워크에 초기 접근을 얻은 것으로 알려져 있습니다. 환경이 침해되면, 적들은 감염된 시스템에서 지속적인 존재를 확보하고 권한 상승을 시도하며 데이터를 외부로 유출하고 암호화하기 전에 파일을 암호화합니다. BlackByte 랜섬웨어 운영자들은 일부 경우에만 데이터를 부분적으로 암호화했습니다. 복호화가 불가능한 경우에도 데이터 복구는 가능합니다. BlackByte 랜섬웨어는 c:windowssystem32 및 C:Windows에서 실행 파일을 실행합니다. 이 랜섬웨어의 최신 버전의 새로움은 성공적인 암호화를 수행하기 위한 외부 IP 주소와의 통신이 필요하지 않다는 것입니다..

Once the environment is breached, adversaries work towards gaining a persistent presence in the infected system and elevate privileges before exfiltrating and encrypting files. The BlackByte ransomware operators have only partly encrypted data in certain cases. Data recovery is feasible in circumstances when decryption is not possible.BlackByte ransomware runs executables from c:windowssystem32 and C:Windows. The novelty of the latest version of this ransomware is that it doesn’t require communication with any external IP addresses to carry out successful encryption.

기존 공격의 일환으로 Tor 네트워크를 통해 피해자에게 몸값 지급을 촉구하는 메모가 필수적인 부분입니다. FBI는 최신 보고서에서 랜섬웨어 피해자들에게 돈을 지불하지 말라고 권고하며, 이는 데이터 복구를 보장하지 않으며, 오히려 해커들이 더 많은 공격을 하도록 장려할 것이므로 그렇다고 밝혔습니다. 피해자들은 랜섬웨어 운영자들을 추적할 수 있도록 침해를 보고할 것을 권장받고 있습니다.

잔소리가 될 수 있지만, 위협 예방 및 탐지가 가장 중요하다는 것은 굳이 언급할 필요가 없습니다. SOC Prime의 Detection as Code 플랫폼에 무료로 가입하여 업계 최고 관행과 공유 전문 지식을 통해 위협 탐지를 보다 용이하고 빠르고 효율적으로 만드세요. 이 플랫폼은 또한 SOC 전문가들이 그들의 탐지 콘텐츠를 공유하고, 최고 수준의 이니셔티브에 참여하며, 입력을 수익화할 수 있게 합니다.