Detecção de Ransomware BlackCat: Má Sorte Escrita em Rust
Índice:
Os adversários estão procurando novos meios de aumentar a pressão, desta vez trazendo um novo ransomware escrito em Rust para atacar organizações nos EUA, Europa, Austrália, Índia e Filipinas. Os desenvolvedores do ransomware ALPHV BlackCat visam sistemas operacionais Windows e Linux através de um framework/conjunto de ferramentas de terceiros (por exemplo, Cobalt Strike) ou explorando aplicativos vulneráveis.
O grupo BlackCat está agora ativamente recrutando hackers em fóruns como RAMP, XSS e Exploit, atraindo-os com uma parte impressionante dos pagamentos de resgate.
Rotina de Ataque do Ransomware BlackCat
De acordo com a extensa análise da Palo Alto, este ransomware se destaca por sua adaptabilidade, permitindo aos atacantes ajustá-lo a cada alvo para aumentar os danos. Os atores da ameaça BlackCat utilizam várias táticas e rotinas de criptografia. O ransomware pode ser configurado para usar quatro modos de criptografia:
- Criptografia de arquivo completo
- Rápido (apenas os primeiros N megabytes são criptografados)
- DotPattern (N megabytes são criptografados via passo M)
- Automático (o processamento dos arquivos está no locker)
Os dados atuais indicam que os atores da ameaça que utilizam o BlackCat, empregam múltiplas técnicas de extorsão, roubando dados das vítimas em esquemas de dupla e tripla extorsão, ameaçando vazar informações sensíveis e lançando ataques de negação de serviço distribuída (DDoS).
O ransomware encerrará processos e serviços que poderiam potencialmente impedir a criptografia em seu processo de configuração. Consequentemente, encerrará a operação de máquinas virtuais e VMs ESXi, e excluirá snapshots ESXi para obstruir ou impedir a recuperação. O BlackCat usa uma extensão de nome aleatório em todos os dispositivos criptografados, acrescentada a todos os arquivos e incluída na nota de resgate. Ele insta os usuários infectados a se conectarem ao portal de pagamento dos atacantes via TOR, com exigências de resgate em Bitcoin ou Monero.
Ataques Reportados Semelhantes ao BlackCat
Observamos uma tendência crescente de hackers ampliando seu repertório de idiomas usados para criar malware. Há um número crescente de casos usando malware escrito em Dlang, Go, Nim e Rust, para encontrar novos caminhos para contornar proteções de segurança, evitar análises e alcançar maiores chances de sucesso na evasão. Rotulado como “a nova geração de ransomware”, o BlackCat exibe elementos comportamentais semelhantes aos de um sucessor do DarkSide, ransomware BlackMatter . Apesar de inúmeras semelhanças, o ransomware ALPHV BlackCat inclui recursos inovadores que o diferenciam de programas RaaS direcionados a violações corporativas. Os operadores do BlackCat aprenderam com os erros de seus predecessores RaaS, empregando novos vetores de infecção, opções de execução inovadoras e campanhas de nomeação e vergonha particularmente agressivas.
Mitigação do BlackCat
O ALPHV surgiu pela primeira vez em meados de novembro de 2021 e tem estado ativamente à procura de vítimas em diversos setores. Infelizmente, com bastante sucesso. Segundo os relatos, as vítimas são solicitadas a pagar até 14 milhões de dólares para ter acesso aos seus arquivos.
Para proteger a infraestrutura de sua empresa de possíveis ataques do BlackCat, você pode baixar um conjunto de regras Sigma gratuitas desenvolvidas por nossos experientes desenvolvedores Threat Bounty Emir Erdogan and Kaan Yeniyol, que nunca perdem um detalhe.
Detecção de Ransomware BlackCat (via cmdline)
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro e AWS OpenSearch.
A regra está alinhada com a estrutura MITRE ATT&CK® mais recente v.10, abordando as táticas de Comando e Controle, Execução, Impacto e Exfiltração com Protocolo de Camada de Aplicação (T1071), Interpretador de Comando e Scripts (T1059), Dados Criptografados para Impacto (T1486) e Limites de Tamanho de Transferência de Dados (T1030) como as principais técnicas.
Execução e Reconhecimento do UUID do Ransomware BlackCat
Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LimaCharlie, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Securonix, Apache Kafka ksqlDB, Open Distro e AWS OpenSearch.
A regra está alinhada com a estrutura MITRE ATT&CK® mais recente v.10, abordando as táticas de Execução, Evasão de Defesa e Descoberta com Interpretador de Comando e Scripts (T1059), Execução de Comando Indireto (T1202) e Descoberta de Serviços de Sistema (T1007) como as principais técnicas.
A lista completa de detecções no repositório Threat Detection Marketplace da plataforma SOC Prime está disponível aqui.
Inscreva-se gratuitamente na plataforma Detection as Code da SOC Prime para detectar as ameaças mais recentes dentro de seu ambiente de segurança, melhorar a cobertura de fontes de log e MITRE ATT&CK, e defender-se contra ataques de forma mais fácil, rápida e eficiente. Especialistas em cibersegurança são mais do que bem-vindos a se juntar ao programa Threat Bounty para compartilhar regras Sigma refinadas com a comunidade e obter recompensas recorrentes.
