BlackCat 랜섬웨어 탐지: Rust로 쓰여진 불운

적대적 행위자들은 미국, 유럽, 호주, 인도, 필리핀의 조직을 공격하기 위해 이번에는 Rust로 작성된 새로운 랜섬웨어를 사용하여 공격 수위를 높이고 있다. ALPHV BlackCat 랜섬웨어 개발자는 3자 프레임워크/툴셋(예: Cobalt Strike)을 통해 또는 취약한 애플리케이션을 악용하여 Windows 및 Linux OS를 대상으로 한다.

BlackCat 갱단은 현재 RAMP, XSS, Exploit 같은 포럼에서 해커를 적극적으로 모집하면서 인상적인 비율의 랜섬 지불금을 미끼로 삼고 있다.

블랙캣 랜섬웨어 공격 루틴

광범위한 Palo Alto 분석에 따르면, 이 랜섬웨어는 적응성이 뛰어나 공격자가 피해를 증가시키기 위해 각 목표에 맞게 조정할 수 있는 점에서 돋보인다. BlackCat 위협 행위자는 다양한 전술과 암호화 루틴을 사용한다. 이 랜섬웨어는 네 가지의 서로 다른 암호화 모드:

1. 전체 파일 암호화
2. 빠름(처음 N 메가바이트만 암호화됨)
3. 도트패턴(N 메가바이트가 M 단계로 암호화됨)
4. 자동(파일 처리는 잠금 장치에 있음)

현재 데이터에 따르면 BlackCat을 활용하는 위협 행위자는 여러 갈취 기술을 사용하고, 이중 및 삼중 갈취 계획으로 피해자의 데이터를 훔치고, 민감 정보를 유출하겠다고 위협하며, 분산 서비스 거부(DDoS) 공격을 실행한다.

랜섬웨어는 설정 과정에서 암호화를 방해할 수 있는 프로세스 및 서비스를 종료합니다. 결과적으로 가상 머신 및 ESXi VM의 작동을 중지하고, ESXi 스냅샷을 삭제하여 복구를 방해하거나 예방합니다. BlackCat은 모든 암호화된 장치에 임의의 확장명을 사용하여 모든 파일에 추가하고 랜섬 노트에 포함합니다. 감염된 사용자는 TOR를 통해 공격자의 결제 포털에 연결하라는 요청을 받고, 비트코인이나 모네로로 랜섬을 요구받습니다.

BlackCat과 유사한 보고된 공격

해커들이 악성코드를 만드는 데 사용하는 언어의 레퍼토리를 넓히고 있는 증가 추세를 목격하고 있습니다. 보안 보호를 우회하고 분석을 회피하며 회피 성공 가능성을 높이기 위해, Dlang, Go, Nim, Rust로 작성된 악성코드를 사용하는 사례가 증가하고 있습니다. “새로운 세대의 랜섬웨어”로 일컬어지는 BlackCat은 DarkSide의 후속작과 유사한 행동 요소를 보여주며, BlackMatter 랜섬웨어. 많은 유사점에도 불구하고, ALPHV BlackCat 랜섬웨어는 기업 침해를 목표로 한 RaaS 프로그램과 차별화되는 혁신적인 기능을 포함하고 있습니다. BlackCat 운영자는 RaaS 전임자들의 실수로부터 학습하여 새로운 감염 경로, 참신한 실행 옵션, 특히 공격적 네이밍 및 비난 캠페인을 사용하고 있습니다.

BlackCat 완화

ALPHV는 2021년 11월 중순 처음 등장하여 여러 산업에서 피해자를 찾으며 활발히 활동하고 있습니다. 불행히도, 상당히 성공적으로. 보고서에 따르면, 피해자들은 파일을 확보하기 위해 최대 1,400만 달러의 지불을 요청받고 있습니다.

BlackCat 공격으로부터 회사 인프라를 보호하려면, 경험 많은 Threat Bounty 개발자들이 개발한 일련의 무료 Sigma 규칙을 다운로드할 수 있습니다 Emir Erdogan and Kaan Yeniyol, 트릭을 놓치지 않는.

BlackCat Ransomware 감지 (cmdline 사용)

이 감지는 다음 SIEM, EDR & XDR 플랫폼에 대한 번역을 가지고 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크의 v.10에 맞추어 설계되었으며, Application Layer Protocol (T1071), Command and Scripting Interpreter (T1059), Data Encrypted for Impact (T1486), Data Transfer Size Limits (T1030)과 같은 주요 기술로 Command and Control, Execution, Impact, Exfiltration 전술을 다루고 있습니다.

BlackCat Ransomware 실행 및 탐색 UUID

이 감지는 다음 SIEM, EDR & XDR 플랫폼에 대한 번역을 가지고 있습니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Open Distro, AWS OpenSearch.

이 규칙은 최신 MITRE ATT&CK® 프레임워크의 v.10에 맞추어 설계되었으며, Command and Scripting Interpreter (T1059), Indirect Command Execution (T1202), System Service Discovery (T1007)과 같은 주요 기술로 Execution, Defense Evasion, Discovery 전술을 다루고 있습니다.

SOC Prime 플랫폼의 Threat Detection Marketplace 저장소의 감지 목록은 여기.

SOC Prime의 Detection as Code 플랫폼에서 무료로 가입하여 보안 환경 내 최신 위협을 감지하고 로그 소스 및 MITRE ATT&CK 커버리지를 향상시키며, 쉽게, 빠르고 효율적으로 공격을 방어하십시오. 사이버 보안 전문가들은 Threat Bounty 프로그램에 참여하여 커뮤니티와 함께 선별된 Sigma 규칙을 공유하고 반복적인 보상을 얻는 것을 환영합니다.

플랫폼으로 가기 Threat Bounty에 참여