Detecção de Ataques de Ransomware Black Basta: Campanhas Maliciosas Recentes Usando Novas Ferramentas Personalizadas Atribuídas ao Grupo FIN7
Índice:
The Grupo de ransomware Black Basta surgiu na arena de ameaças cibernéticas em abril de 2022. Embora o coletivo de hackers possa ser considerado relativamente novo no domínio ofensivo cibernético, eles já ganharam uma reputação notória por evoluir rapidamente sua ferramenta adversária e adaptar ferramentas mais sofisticadas. Pesquisadores de cibersegurança associam a atividade mais recente dos operadores de ransomware Black Basta ao grupo hacker ligado à Rússia FIN7 com base no uso de novas ferramentas de desativação de defesa que pertencem às capacidades ofensivas do último.
Detecte os ataques mais recentes do Black Basta
Com o relativamente novo grupo de ransomware Black Basta avançando seu arsenal e enriquecendo-o com novas ferramentas e técnicas personalizadas, especialistas em cibersegurança devem estar equipados a tempo com capacidades defensivas relevantes para impedir ataques de ransomware de tal escala e impacto. A plataforma Detection as Code da SOC Prime recentemente lançou uma nova regra Sigma para detecção de ataques do ransomware Black Basta criada por nosso prolífico desenvolvedor do Threat Bounty Kyaw Pyiyt Htet (Mik0yan):
Esta regra Sigma detecta as chaves de execução persistentes de registro usadas pelos operadores de ransomware Black Basta nos ataques mais recentes que têm ligações com o coletivo hacker FIN7. A detecção pode ser usada em 22 tecnologias SIEM, EDR e XDR e está alinhada com o framework MITRE ATT&CK® abordando a tática de Persistência e a técnica correspondente de Execução de Inicialização ou Logon (T1547).
A indústria de cibersegurança conecta Caçadores de Ameaças e Engenheiros de Detecção que estão ansiosos para ajudar uns aos outros e ganhar uma vantagem na luta incessante contra adversários. A iniciativa de crowdsourcing da SOC Prime oferece uma oportunidade brilhante tanto para mentes aspirantes quanto para especialistas experientes para ajudar colegas da indústria e ganhar uma recompensa pela contribuição. Junte-se ao Programa de Recompensa de Ameaças para ganhar pagamentos recorrentes enquanto aprimora continuamente suas habilidades Sigma e ATT&CK e faz a diferença no campo.
Procurando maneiras de se defender proativamente contra quaisquer ataques de ransomware Black Basta? Clique no botão Explorar Detecções e alcance instantaneamente todas as regras Sigma para ameaças atuais e emergentes relacionadas aos operadores de ransomware Black Basta. Examine as referências MITRE ATT&CK, links CTI, binários relevantes, mitigações e mais contexto de ameaças cibernéticas.
Descrição do Black Basta: Ataques de Ransomware Ligados ao FIN7
Os atores do Black Basta têm conquistado a arena de ameaças cibernéticas por mais de meio ano, no entanto, suas afiliações com outros mantenedores de ransomware ainda permanecem em questão para defensores cibernéticos. O grupo tem evoluído rapidamente suas capacidades ofensivas experimentando uma ampla gama de TTPs. O Black Basta utiliza técnicas de elevação de privilégio explorando um conjunto de vulnerabilidades conhecidas, incluindo PrintNightmare and ZeroLogon, possui múltiplos RATs em seu kit de ferramentas ofensivas e aplica um conjunto de métodos adversários para movimento lateral.
No início de junho de 2022, pesquisadores de cibersegurança encontraram vestígios da colaboração deles com QBot também conhecido como Qakbot para aplicar a infame porta dos fundos para movimento lateral e posterior implantação de beacons Cobalt Strike em máquinas comprometidas.
Pesquisadores do SentinelLabs recentemente analisaram TTPs dos operadores de ransomware Black Basta e descobriram novas ferramentas e técnicas adversárias que podem ser atribuídas a um coletivo hacker apoiado pela Rússia rastreado como FIN7 também conhecido como grupo Carbanak baseado no nome do malware que aplicaram em suas campanhas maliciosas.
A utilização de uma nova ferramenta de desativação de defesa desenvolvida por atores de ameaça FIN7 permitiu que pesquisadores de cibersegurança estabelecessem uma conexão entre dois coletivos hackers. Além disso, o uso de um conjunto de ferramentas personalizadas e amostras maliciosas nas operações mais recentes de ransomware Black Basta, incluindo WindefCheck.exe e o backdoor BIRDDOG também conhecido como SocksBot que pertencem ao kit de ferramentas adversário FIN7, revela mais ligações entre adversários.
Com um número crescente de ataques de ransomware, a detecção proativa é a chave para fortalecer a postura de cibersegurança da organização. Obtenha mais de 650 regras Sigma para detectar ataques de ransomware atuais e emergentes e esteja sempre um passo à frente dos adversários. Alcance mais de 30 regras grátis ou obtenha todo o conjunto de detecção sob demanda em http://my.socprime.com/pricing.
