Detecção do Ransomware BlackByte: Novo Alerta de Despertar

[post-views]
Fevereiro 25, 2022 · 4 min de leitura
Detecção do Ransomware BlackByte: Novo Alerta de Despertar

O Federal Bureau of Investigation (FBI) e o U.S. Secret Service (USSS) divulgaram um aviso conjunto de cibersegurança em relação às atividades do grupo de Ransomware como Serviço (RaaS) BlackByte. O ransomware BlackByte tem sido usado contra empresas localizadas nos EUA como os principais alvos. Os maiores custos recaem fortemente sobre os setores de infraestrutura crítica, como instalações estaduais, serviços financeiros, alimentos e agricultura.

Mitigação do Ransomware BlackByte

De acordo com os dados atuais, os atacantes supostamente ganharam acesso aos ambientes das vítimas explorando uma falha do Microsoft Exchange Server. Para identificar comportamentos associados ao Ransomware BlackByte, como tentativas de modificar registros para privilégios elevados, utilize o seguinte conteúdo de detecção de ameaças:

Comportamento do Ransomware BlackByte – Fev 2022 (via criação de processo)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Impacto com Dados Criptografados para Impacto (T1486) como a técnica principal.

Ransomware BlackByte Modifica Registros para Elevar Privilégios

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, CrowdStrike, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.

A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa com Modificar Registro (T1112) como a técnica principal.

As regras são fornecidas por nossos atentos desenvolvedores do Threat Bounty Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, mantendo uma vigilância apertada sobre ameaças emergentes.

A lista completa de detecções no repositório do Threat Detection Marketplace da plataforma SOC Prime está disponível aqui. Deseja criar suas próprias regras Sigma? Participe do nosso programa Threat Bounty e seja recompensado por sua valiosa contribuição.

Visualizar Detecções Participe do Threat Bounty

Ataques de Ransomware BlackByte

A ameaça surgiu pela primeira vez em julho de 2021, reaparecendo a cada dois meses com múltiplos ataques contra os EUA, Europa e Austrália. Atualmente, o BlackByte RaaS é conhecido por explorar uma falha do Microsoft Exchange Server para obter acesso inicial às redes das vítimas, segundo o aviso conjunto.

do FBI e do USSS. Uma vez que o ambiente é violado, os adversários trabalham para ganhar presença persistente no sistema infectado e elevar privilégios antes de exfiltrar e criptografar arquivos. Os operadores do ransomware BlackByte apenas criptografaram parcialmente os dados em certos casos. A recuperação de dados é viável em circunstâncias quando a descriptografia não é possível. O ransomware BlackByte executa arquivos executáveis a partir de c:windowssystem32 e C:Windows. A novidade da última versão deste ransomware é que ele não requer comunicação com nenhum endereço IP externo para realizar criptografia bem-sucedida.

Uma nota instando uma vítima a pagar um resgate através da rede Tor é parte indispensável do ataque. No último relatório, o FBI aconselha as vítimas de ransomware a não pagarem, já que fazê-lo não garante a recuperação dos dados e, em vez disso, encoraja os hackers a lançarem mais ataques. As vítimas são aconselhadas a relatar violações para que os operadores de ransomware sejam rastreados.

Ao risco de soar como um disco arranhado, é desnecessário mencionar que a prevenção e detecção de ameaças são primordiais. Inscreva-se gratuitamente na plataforma de Detecção como Código da SOC Prime para tornar a detecção de ameaças mais fácil, rápida e eficiente com as melhores práticas do setor e expertise compartilhada. A plataforma também permite que profissionais SOC compartilhem conteúdo de detecção de sua criação, participem de iniciativas de nível superior e monetizem suas contribuições.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix 5 min de leitura Ameaças Mais Recentes Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix by Veronika Telychko Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix 5 min de leitura Ameaças Mais Recentes Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix by Veronika Telychko Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux 6 min de leitura Ameaças Mais Recentes Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux by Veronika Telychko
Todas as notícias