Detecção de Ataques BlackCat aka ALPHV: Hackers Abusam de Malvertising para Espalhar Malware e Usam SpyBoy Terminator para Comprometer a Proteção de Segurança
Índice:
Pesquisadores de cibersegurança descobriram indícios de uma nova atividade maliciosa atribuída ao nefasto grupo de ransomware BlackCat também conhecido como ALPHV. A campanha adversária envolve a distribuição de malware por meio de páginas clonadas de empresas legítimas, incluindo a página de um popular serviço de transferência de arquivos WinSCP. Observa-se que o BlackCat também utiliza o SpyBoy Terminator para seus propósitos ofensivos, visando dificultar a proteção contra malware.
Detectando a Atividade do BlackCat Espalhando Malware através de Páginas Clonadas
Com os operadores de ransomware BlackCat continuamente adicionando novos recursos nefastos ao conjunto de ferramentas e buscando métodos de ataque eficazes, os defensores cibernéticos precisam de uma fonte confiável de algoritmos de detecção e inteligência sobre ameaças para resistir proativamente a possíveis intrusões. Para detectar a atividade maliciosa associada à última campanha do BlackCat (ALPHV), baixe um conjunto de regras Sigma dedicadas disponíveis na Plataforma SOC Prime.
Todos os algoritmos de detecção são compatíveis com 28 tecnologias SIEM, EDR e XDR, e alinhados ao framework MITRE ATT&CK v12 para agilizar os procedimentos de caça às ameaças.
Clique no botão Explorar Detecções para acessar um lote de regras Sigma curadas focadas na detecção de ataques de ransomware BlackCat. Todas as regras vêm com metadados ricos, incluindo referências ATT&CK e CTI. Para ajudar os profissionais de segurança durante a busca de conteúdo, a SOC Prime suporta a filtragem por tags “grupo de ransomware BlackCat, ” “ALPHV, ” “SpyBoy” com base nos títulos das amostras de malware usadas no decorrer da campanha em destaque.
BlackCat Usando Publicidade Maliciosa como Vetor de Entrada: Nova Análise de Ataque
Os notórios afiliados do ransomware ALPHV BlackCat têm atraído atenção significativa no mundo das ameaças cibernéticas desde meados de novembro de 2021, mirando em vários setores da indústria ao redor do mundo e experimentando várias TTPs e ferramentas ofensivas.
Os pesquisadores da Trend Micro emitiram um relatório destacando a atividade recente do grupo BlackCat. Na campanha mais recente, distribuidores de malware utilizam uma técnica de publicidade maliciosa para espalhar variantes maliciosas por meio de páginas clonadas do aplicativo de código aberto para Windows WinSCP. Essa técnica de hacking envolve a disseminação de anúncios maliciosos destinados a atrair usuários comprometidos a baixar certos tipos de malware.
Observou-se que os hackers do BlackCat roubavam credenciais para realizar acessos não autorizados às redes visadas e acessar o servidor de backup. Eles também utilizaram utilitários de gerenciamento de acesso remoto para estabelecer e manter a persistência no sistema comprometido e aplicaram o SpyBot Terminator para contornar a proteção de EDR e antivírus.
A cadeia de infecção é iniciada ao buscar por “WinSCP Download” no mecanismo de busca Bing, com um anúncio malicioso exibido ao usuário alvo e levando ao site fraudulento. Ao seguir o link, o usuário será redirecionado para uma página clonada do serviço legítimo WinSCP. Ao clicar para baixar um arquivo ISO que se disfarça de instalador de aplicação legítima, este último espalha a infecção ainda mais por meio de dois arquivos maliciosos, setup.exe e um arquivo DLL carregado com atraso.
BlackCat também aplicou um conjunto de outras ferramentas adversárias para descobrir o ambiente comprometido, incluindo o AdFind, que pode ser usado para coletar informações dos ambientes Active Directory (AD), escalonamento de privilégios e roubo de credenciais. O grupo também utilizou comandos PowerShell para coletar dados de usuários e armazená-los no arquivo CSV. Entre outras ferramentas, aproveitaram um conjunto de utilitários de linha de comando, como AccessChk64 e findstr, e scripts PowerShell. Para obter credenciais de administrador e escalar privilégios, BlackCat aplicou scripts maliciosos em Python, enquanto ferramentas como PsExec, BitsAdmin e curl foram usadas para baixar outras ferramentas e mover-se lateralmente pelo ambiente comprometido.
Aproveitando um truque conhecido de publicidade maliciosa, os operadores do ransomware BlackCat conseguiram disseminar a infecção por meio de um site duvidoso que se disfarça de instalador do WinSCP. Confie na Plataforma SOC Prime para estar totalmente equipado com conteúdo de detecção relevante contra qualquer TTP usado em ataques cibernéticos em andamento. Acesse os mais recentes algoritmos de detecção comportamental prontos para uso e explore o contexto relevante sobre qualquer ataque ou ameaça cibernética, incluindo zero-days, referências CTI e ATT&CK, e ferramentas da equipe vermelha. Valide o conjunto de detecções com uma auditoria automática de dados ATT&CK de leitura apenas, identifique pontos cegos e os enderece oportunamente para garantir visibilidade completa da ameaça com base nos logs específicos da organização. Simplifique tarefas ad-hoc com autocompletar Sigma e ATT&CK, automatize a tradução de consultas entre plataformas, e explore o contexto relevante da ameaça cibernética do ChatGPT e da comunidade global de defensores cibernéticos para economizar tempo nas operações do SOC.
