Detectar Ataques de Ransomware ALPHA SPIDER: TTPs Utilizadas pelos Operadores ALPHV aka BlackCat RaaS
Índice:
O ransomware continua sendo uma grande ameaça para organizações globalmente, com um aumento constante no volume e sofisticação dos ataques. Entre os principais atores no cenário de ransomware, o grupo ALPHA SPIDER se destaca ao reivindicar uma série de ataques de alto perfil recentes que visam o processador de software de pagamentos de saúde dos EUA, Change, e o gigante da indústria de jogos MGM. Em vista disso, o ALPHA SPIDER representa uma ameaça significativa devido à sua presença massiva no domínio cibernético, o Departamento de Justiça dos EUA anunciou uma operação de aplicação da lei internacional destinada a apreender operações ALPHV (também conhecido como BlackCat) que foi seguida por um detalhado aviso da CISA dentro da iniciativa #StopRansomware.
Detecte ataques de ransomware ALPHA SPIDER (também conhecido como ALPHV, BlackCat)
Depois de surgir no início da década de 2020, o ALPHA SPIDER rapidamente se autoproclamou como um novo líder de ransomware como serviço (RaaS), atraindo muita atenção devido aos múltiplos alvos de alto perfil, capacidades maliciosas sofisticadas e oferta generosa para os afiliados.
Para se manter à frente de potenciais ataques do ALPHV, os defensores cibernéticos precisam de ferramentas avançadas de detecção de ameaças e caça enriquecidas com algoritmos de detecção curados que abordem as TTPs dos adversários. A Plataforma SOC Prime agrega um conjunto de regras Sigma relevantes compatíveis com 28 tecnologias SIEM, EDR, XDR e Data Lake para identificar atividades maliciosas associadas ao ALPHV, também conhecido como BlackCat.
Basta clicar no Explore Detecções botão abaixo e imediamente aprofundar na extensa pilha de detecção para identificar as TTPs relacionadas às últimas campanhas do ALPHA SPIDER. Todas as regras são mapeadas para o framework MITRE ATT&CK v14.1 e enriquecidas com inteligência de ameaças detalhada.
Para agilizar a investigação de ameaças e aumentar as operações do SOC, os profissionais de segurança podem acessar uma coleção mais ampla de regras Sigma abordando atividades maliciosas relacionadas pesquisando no SOC Prime por tags “ALPHV” e “BlackCat”.
Análise do ataque de ransomware Alphv/BlackCat
Os nefastos operadores de ransomware ALPHV (BlackCat, ALPHA SPIDER) estão em destaque no domínio das ameaças cibernéticas desde o final do outono de 2021, mirando em uma ampla gama de verticais industriais e continuamente enriquecendo seu conjunto de ferramentas adversárias. O BlackCat é considerado a próxima geração das gangues de ransomware DarkSide or BlackMatter , indicando um nível sofisticado de expertise e habilidades entre seus afiliados. Ao longo do último ano, os hackers do ALPHV foram observados empregando um conjunto de novas técnicas adversárias e métodos inovadores como componentes de suas atividades de ransomware.
O RaaS ALPHV se destaca por ser escrito na linguagem de programação Rust e oferece uma gama de capacidades destinadas a atrair afiliados avançados. Essas incluem variantes de ransomware que visam múltiplos sistemas operacionais, uma variante altamente customizável para evasão de detecção, um banco de dados pesquisável hospedado em um domínio web claro, um site dedicado a vazamentos e a integração de um mixer de Bitcoin nos painéis dos afiliados. De acordo com a última pesquisa da CrowdStrike, os operadores do Alphv têm utilizado versões Linux do Cobalt Strike e SystemBC para conduzir reconhecimento de servidores VMware ESXi antes de iniciar a implantação do ransomware.
ALPHV/BlackCat é uma gangue de ransomware altamente prolífica que assumiu a responsabilidade por vários ataques de alto perfil, como aqueles contra o gigante dos jogos MGM Resorts e o fornecedor de software de pagamentos de saúde Change Healthcare. O último ataque realizado no mês passado resultou em grandes interrupções de serviço para organizações de saúde como farmácias.
Na fase inicial do ataque, afiliados do ALPHV exploram algumas vulnerabilidades identificadas como CVE-2021-44529 e CVE-2021-40347 para acesso inicial e persistência na rede alvo. Posteriormente, adversários empregam o Nmap, a utilidade nefarious de escaneamento de rede, para realizar operações de descoberta de rede, juntamente com scripts específicos do Nmap para realizar um escaneamento de vulnerabilidades direcionado. Também foram observados tentando utilizar outra vulnerabilidade RCE rastreada como CVE-2021-21972 e se aprofundar em atividades de reconhecimento de rede adicionais. Além disso, o ALPHV abusou da ferramenta de backup Veeam após seu movimento lateral inicial e aproveitou o script de recuperação de credenciais do Veeam PowerShell para roubar credenciais de usuário diretamente do banco de dados Veeam.
Com o crescente volume de ataques de ransomware direcionados ao setor de saúde, o OCR do Departamento de Saúde e Serviços Humanos dos Estados Unidos recentemente lançou uma carta abordando o incidente de cibersegurança que afeta o Change Healthcare, juntamente com inúmeras outras entidades de saúde, que visa aumentar a conscientização sobre cibersegurança nesse setor da indústria altamente vulnerável a ataques de ransomware. Nos últimos cinco anos, houve um aumento de 264% nos ataques de ransomware relatados ao OCR, o que alimenta a necessidade de fortalecer as capacidades defensivas proativas dentro das organizações de saúde dos EUA.
Com um número crescente de tendências e intrusões mais sofisticadas, o ransomware tem sido o principal desafio para a maioria das organizações desde 2021, incluindo grandes empresas. Aproveitando o Attack Detective, encontrar ataques de ransomware e identificar prontamente potenciais intrusões está se tornando mais rápido, fácil e eficiente. Confie no sistema que garante visibilidade abrangente da sua superfície de ataque e fornece algoritmos de detecção baseados em comportamento ou IOCs adaptados à sua solução de segurança em uso sem mover seus dados, apoiado pelo ATT&CK que atua como um algoritmo de correlação central.