Detecção de Ransomware Black Basta: Nova Colaboração com QBot

QBot, também conhecido como Qakbot, existe desde 2007, enquanto seu companheiro, um grupo de atores de ameaça chamado Black Basta, apareceu pela primeira vez há apenas alguns meses – em abril de 2022. De acordo com as últimas informações sobre uma parceria entre Qakbot e Black Basta, este último usa este ladrão de informações modular ladrão de informações para transitar pelo sistema comprometido e manter a persistência, usando o movimento lateral como sua tática central nesta campanha. Evidências indicam que o ator da ameaça implantou Cobalt Strike beacons nas máquinas das vítimas.

Detectar Ransomware Black Basta

Para detectar atividades maliciosas do Black Basta que poderiam comprometer sua rede, utilize o seguinte conjunto de regras Sigma disponíveis na Plataforma Detection as Code da SOC Prime:

Regras Sigma para detectar ransomware Black Basta

Usuários não registrados podem navegar pela coleção de regras Sigma disponíveis através do Cyber Threat Search Engine. Pressione o botão Drill Down to Search Engine para acessar um centro único de conteúdo gratuito para SOC.

Profissionais de segurança registrados aproveitam todo o potencial da maior e mais avançada plataforma do mundo para defesa cibernética colaborativa. Pressione o botão Ver na Plataforma SOC Prime para acessar uma coleção exaustiva das regras mais atualizadas para detectar infiltrações de ransomware.

Ver na Plataforma SOC Prime Drill Down to Search Engine

Análise do Ransomware Black Basta

Um grupo prolífico de ransomware conhecido pelo apelido de Black Basta demonstra uma disposição para conquistar novos horizontes no terreno da ciberofensiva, adaptando novas ferramentas de malware e técnicas de hacking. Apesar de ser um novato no campo dos ataques de ransomware, eles já fizeram seu nome em crimes de alto valor, lançando ataques de dupla extorsão em todo o mundo.

pesquisadores do NCC Group relataram uma recente colaboração do Black Basta com QBot. O trojan bancário frequentemente referido como um malware canivete suíço por sua impressionante versatilidade em operações maliciosas, é frequentemente utilizado como um dropper em ataques de ransomware. Os adversários do Black Basta o usaram principalmente por sua capacidade de se mover lateralmente dentro de um ambiente comprometido com o objetivo de liberar os executáveis do ransomware em todos os hosts dentro de uma rede comprometida. Os dados atuais indicam que dentro da última campanha, os adversários encerram os processos do Windows Defender em dispositivos comprometidos.

Interessado em aprender mais sobre como aprimorar suas contramedidas de segurança? Junte-se à Plataforma SOC Prime para desbloquear acesso ao maior pool mundial de conteúdo de detecção criado pelos líderes da indústria e aumentar a eficiência em seu ecossistema de segurança. SOC Prime, com sede em Boston, EUA, é movida por uma equipe internacional de especialistas experientes dedicados a habilitar a defesa cibernética colaborativa.