Ataques de Ransomware BlackCat: Atores de Ameaças Usam Brute Ratel e Cobalt Strike Beacons para Intrusões Avançadas
Índice:
Pesquisadores de cibersegurança revelaram uma onda de novas atividades do notório grupo de ransomware BlackCat implantando binários de malware personalizados para intrusões mais sofisticadas. Nos ataques mais recentes, os atores de ameaça têm aproveitado beacons do Cobalt Strike e uma nova ferramenta de teste de penetração apelidada de Brute Ratel, instalando esta última como um serviço do Windows nas máquinas comprometidas.
Detectar Ataques do Ransomware BlackCat
Para acompanhar o cenário de ameaças em constante evolução e resistir efetivamente a ataques que estão crescendo em volume e sofisticação, as organizações globais estão procurando maneiras de aumentar suas capacidades de defesa cibernética. Com o ransomware mantendo-se como uma tendência crescente no cenário de ameaças cibernéticas em 2021-2022, os profissionais de cibersegurança se esforçam para se proteger contra ameaças relacionadas. A plataforma Detection as Code da SOC Prime lançou recentemente uma nova regra Sigma para detectar uma ferramenta maliciosa Brute Ratel implantada nas operações mais recentes do ransomware BlackCat. Inscreva-se ou faça login na plataforma SOC Prime para acessar a detecção escrita por nosso prolífico desenvolvedor de Threat Bounty Kyaw Pyiyt Htet (Mik0yan):
Criação Possível de Pipe Nomeado Brute Ratel na Operação do Ransomware BlackCat (via Pipe_Event)
Defensores cibernéticos experientes e promissores com uma afinidade acentuada por cibersegurança e ambições de autoaprimoramento são bem-vindos para se juntar ao nosso Programa de Recompensa por Ameaças para criar algoritmos de detecção, compartilhá-los com colegas do setor, ganhar reconhecimento e obter recompensas financeiras por suas contribuições.
A regra Sigma acima pode ser aplicada em 18 soluções SIEM, EDR e XDR suportadas pela plataforma da SOC Prime. Para garantir melhor visibilidade das ameaças relacionadas, a detecção está alinhada com o MITRE ATT&CK® framework abordando a técnica de Injeção de Processo (T1055) do repertório de táticas de Evasão de Defesa. Os profissionais de cibersegurança também podem caçar instantaneamente ameaças associadas às operações do ransomware BlackCat usando a regra Sigma mencionada acima via o módulo Quick Hunt da SOC Prime.
A plataforma da SOC Prime organiza toda a lista de algoritmos de detecção para ajudar as organizações a identificar em tempo hábil a atividade do ransomware BlackCat em seu ambiente. Para acessar o kit de ferramentas dedicado, clique no botão Detect & Hunt . Alternativamente, os Caçadores de Ameaças, especialistas em Inteligência de Ameaças Cibernéticas e outros defensores cibernéticos podem explorar instantaneamente o contexto de ameaças abrangente por trás das operações do ransomware BlackCat, mesmo sem registro. Clique no botão Explorar Contexto de Ameaçapara acessar informações contextuais perspicazes, incluindo referências MITRE ATT&CK, links CTI e binários executáveis do Windows vinculados às regras Sigma que acompanham sua busca por ameaças relacionadas.
Detect & Hunt Explorar Contexto de Ameaça
Análise da BlackCat: As Atualizações Mais Recentes
Após seu surgimento em novembro de 2021, BlackCat (também conhecido como Alphv) rapidamente se autodeclarou como um novo líder em ransomware como serviço (RaaS), atraindo muita atenção devido à sua linguagem de codificação Rust incomum, capacidades maliciosas sofisticadas e oferta generosa para que os afiliados fiquem com 90% dos pagamentos de resgate. Os pesquisadores de segurança acreditam que BlackCat pode ser o sucessor dos grupos de ransomware DarkSide or BlackMatter sugerindo um conjunto de habilidades complexo de seus operadores.
A mais recente investigação da Sophos revela que os mantenedores do BlackCat continuam aprimorando a cepa de malware com novos truques. Os atores de ameaça geralmente dependem de firewalls ou serviços de VPN desatualizados ou não corrigidos para obter um ponto de apoio inicial nas redes expostas ou obter credenciais de VPN para se autenticar como usuários autorizados.
Após a infecção, várias ferramentas de código aberto e comercialmente disponíveis são utilizadas para aumentar as capacidades de acesso remoto do BlackCat. Particularmente, a análise das intrusões mais recentes mostra que os atores de ameaça utilizaram TeamViewer, nGrok, Cobalt Strike e Brute Ratel para garantir rotas alternativas de acesso. Segundo a Sophos, a suíte de pentesting Brute Ratel com recursos semelhantes ao Cobalt Strike é a última aquisição para aprimorar as capacidades pós-exploração enquanto passa despercebido.
Enquanto adiciona à notoriedade do BlackCat, os operadores de ransomware tornam-se mais ousados ao exigir resgates mais altos de suas vítimas. A gangue geralmente mira em alvos de alto perfil, incluindo OilTanking GmbH, Swissport, Florida International University e a Universidade da Carolina do Norte A&T. As exigências de resgate aumentaram com o tempo, agora chegando a US$ 2,5 milhões, com um possível desconto de 50% no caso de pagamento rápido.
Com um número crescente de tendências e intrusões mais sofisticadas, o ransomware é considerado o maior desafio para a maioria das organizações em 2021, incluindo empresas de grande escala. Registre-se na plataforma Detection as Code da SOC Prime e acesse a coleção de mais de 200.000 algoritmos de detecção para identificar e defender-se proativamente contra ameaças emergentes.
