Detectando Campanha de Malware QakBot Levando a Infecções por Ransomware Black Basta

O Ransomware é a ameaça número um que representa um perigo significativo para os defensores de segurança em todo o mundo, com a tendência de ataques crescendo constantemente ao longo de 2021-2022. Recentemente, especialistas em segurança revelaram uma campanha massiva de malware QakBot que está cada vez mais mirando fornecedores baseados nos EUA para entregar o ransomware Black Basta. 

Durante a última década de novembro de 2022, pelo menos 10 empresas nos Estados Unidos foram vítimas de uma série de ataques agressivos. Em todos os casos, o QakBot (também conhecido como QBot ou Pinkslipbot) atua como um ponto de entrada inicial para os operadores do Black Basta que contam com a cepa maliciosa para manter a persistência na infraestrutura alvo. 

Detectar Infecções por Ransomware Black Basta Usando Malware QakBot

Com o relativamente novo Black Basta anel RaaS avançando seu arsenal e enriquecendo-o com novas ferramentas e técnicas personalizadas, especialistas em cibersegurança devem estar equipados em tempo hábil com capacidades defensivas relevantes para frustrar ataques de ransomware de tal escala e impacto. A plataforma Detection as Code da SOC Prime agrega um conjunto de regras Sigma por nossos desenvolvedores ávidos de Threat Bounty Osman Demir and Zaw Min Htun para detectar ransomware Black Basta confiando no QakBot para infecção. 

Possível Ataque Black-Basta [QakBot] (Novembro de 2022) Atividade de Movimento Lateral Por Detecção de Processo Associado (via criação_processual)

Esta regra detecta a execução da carga útil do Cobalt Strike com os comandos SetVolume do rundll32.exe. A detecção suporta traduções para 20 plataformas SIEM, EDR & XDR e está alinhada com o framework MITRE ATT&CK® abordando a tática de Evasão de Defesa com a técnica correspondente de Execução por Proxy de Binário Assinado (T1218).

Execução de Campanha Qakbot Agressiva Suspeita por Detecção de Comandos Associados [Mirando Empresas dos EUA] (via powershell)

A regra acima detecta o comportamento malicioso associado ao PowerShell usado no decorrer da mais recente campanha QakBot para consultar informações contra os Serviços de Domínio Active Directory com a classe System.DirectoryServices.DirectorySearcher. A detecção suporta traduções para 13 plataformas SIEM, EDR & XDR e está alinhada com o framework MITRE ATT&CK abordando a tática de execução com as técnicas correspondentes de PowerShell (T1086) e Interpretador de Comandos e Scripts (T1059).

Praticantes habilidosos de cibersegurança que se esforçam para enriquecer suas habilidades de Engenharia de Detecção e Caça a Ameaças podem se juntar às fileiras do nosso Programa de Recompensa de Ameaças para dar sua própria contribuição para a expertise coletiva da indústria. A participação no Programa permite que autores de conteúdo de detecção monetizem suas habilidades profissionais enquanto ajudam a construir um futuro digital mais seguro. 

Para acompanhar o rapidamente evolutivo ransomware Black Basta e os ataques de malware QakBot, as equipes de segurança podem utilizar toda a coleção de regras Sigma relevantes disponíveis na plataforma da SOC Prime clicando nos botões abaixo.

Explorar Detecções de QakBot Explorar Detecções de Black Basta

Analisando Campanha de Malware QakBot pelo Grupo de Ransomware Black Basta

A mais recente investigação pela Cybereason revela que o QakBot atua como ponto de entrada inicial durante os ataques do Black Basta contra empresas dos EUA. O ataque geralmente começa com um e-mail de spam ou phishing contendo um arquivo de imagem de disco malicioso. Se aberto, o arquivo aciona a execução do QakBot, seguido pela carga útil do Cobalt Strike sendo recuperada do servidor remoto. 

Na próxima etapa, o malware realiza atividades de coleta de credenciais e movimento lateral visando invadir o maior número possível de pontos de extremidade com os dados de login obtidos. Finalmente, a carga útil do ransomware Black Basta é lançada na rede alvo. 

Notavelmente, em vários dos ataques observados, os operadores da campanha desativaram os serviços de DNS para bloquear a vítima da rede e tornar o processo de recuperação quase impossível. 

Não é a primeira vez que os mantenedores do Black Basta confiam no QakBot para prosseguir com ações maliciosas. Em outubro de 2022, o grupo de ransomware foi observado usando o QakBot para entregar o framework Brute Ratel C4 alavancado para lançar o Cobalt Strike. A mais recente série de ataques cibernéticos só comprova uma mudança significativa nas operações do QakBot sendo renovadas para instalar frameworks de ataque e vender acesso a vários atores de ameaça. 

Com um número rapidamente crescente de ataques de ransomware, a detecção proativa é fundamental para fortalecer a postura de cibersegurança da organização. Obtenha mais de 650 regras Sigma para identificar ataques de ransomware atuais e emergentes e sempre esteja um passo à frente dos adversários. Alcance mais de 30 regras gratuitamente ou obtenha toda a pilha de detecção com On Demand em http://my.socprime.com/pricing.