360 Responseでハイブリッド攻撃の封じ込めを自動化

ハイブリッド攻撃の封じ込めを自動化する 360 Response >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
ランサムウェア・グループ

Black Basta

  1. ステータス:
    非アクティブ
  1. ステータス:
    非アクティブ

Black Basta作戦手法Black Basta、技術的脆弱性と人的要因の両方を巧みに利用して目的を達成する適応性と意欲を浮き彫りにした。こうした戦術を理解することで、組織は高度な脅威に対する防御体制を強化できる。

検知 Black BastaTTP
御社はサイバー攻撃から安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
対象国
産業
被害者

その起源Black Basta

Black Basta ブラック・バスタは、2022年初頭から2025年1月まで活動した金銭目的のランサムウェアグループであり、北米、欧州、アジアの組織を標的とした影響力の大きい二重恐喝作戦で知られていた。同グループは企業ネットワークを侵害してランサムウェアを展開し、機密データを窃取した上で、公開漏洩の脅威をもって被害者に数百万ドル規模の身代金支払いを強要した。

Black Basta 活用した:

  • 盗まれた認証情報マルスパムリモートデスクトップによる初期アクセス
  • Cobalt Strikeブルートレイテル、カスタムローダーによるラテラルムーブ
  • MimikatzRClonePSExecのような、クレデンシャルダンピングやデータ流出のためのツール
  • 恐喝のために流出させたデータをリークサイトで公開

このグループは、SOCKSプロキシ層を含む高度なインフラ管理との関連性を示しており、 フィッシング インフラ、モジュール式ツールなど、高度なインフラ管理との関連性を示している。ロシア語による内部通信を維持し、Matrixチャネルを通じて連携し、関連組織やブローカーと頻繁に協力している。

Black Basta、重要インフラ、医療、法律、製造部門への攻撃に関連している。2024年において最も活発かつ構造化されたランサムウェアの1つと考えられています。

ソースOCD

BlackBastaの標的国

Black Basta活動は複数の地域に及び、米国、ドイツ、英国、カナダ、オーストラリアで重大な事件が報告されている。これらの地域は、高付加価値産業や重要インフラを擁するため、頻繁に標的とされる。

出典:ransomware.live

BlackBastaの対象業界

Black Basta 特に医療・公衆衛生(HPH)部門は、その重要な性質とテクノロジーへの依存度から、幅広い業種を対象としている。その他にも、金融、製造、情報技術などのセクターが影響を受けている。

グラフソースSocRadar

Healthcare

Federal

Higher Education

Financial Services and Banking

Manufacturing

BlackBastaの犠牲者

Black Basta 521人以上の被害者を標的にした。

出典:ransomware.live

攻撃方法

BlackBastaの攻撃方法

初期アクセス
特権エスカレーション
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
ラテラルムーブ
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Black Basta 通常、スピアフィッシングメールを使用し、CVE-2024-1709などの既知の脆弱性を悪用する。また、有効な認証情報を悪用して初期アクセスを得ることも確認されている。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

Mimikatzのようなツールが認証情報のスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)などの脆弱性が悪用されて権限昇格が行われた。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、IntelやDellといった無害なファイル名を使用する偽装戦術を採用した。さらにBackstabのようなツールを展開してエンドポイント検知・対応(EDR)システムを無効化し、PowerShellを用いてアンチウイルス製品を無効化した。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Black Basta 、Mimikatzなどの認証情報スクレイピングツールを使用し、既知の脆弱性を悪用してネットワーク内で管理者権限を取得し、権限を昇格させた。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

SoftPerfect Network Scannerなどのネットワークスキャンツールを使用して、ネットワークをマッピングし、主要なシステムとデータストアを特定した。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

グループはBITSAdmin、PsExec、リモートデスクトッププロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使用してネットワークを横方向Cobalt Strike 。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

暗号化前に、データは収集され、外部への流出に備えて準備された。これには、転送準備のためのファイル圧縮やデータのステージングが含まれた。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

RCloneなどのツールが使用され、データを攻撃者管理のサーバーへ流出させた。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

ランサムウェアはChaCha20アルゴリズムとRSA-4096公開鍵を用いてファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加した。感染システムに残された身代金要求書は、被害者にTorサイト経由でグループに連絡するよう指示していた。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Black Basta 通常、スピアフィッシングメールを使用し、CVE-2024-1709などの既知の脆弱性を悪用する。また、有効な認証情報を悪用して初期アクセスを得ることも確認されている。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

Mimikatzのようなツールが認証情報のスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)などの脆弱性が悪用されて権限昇格が行われた。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

このグループは、IntelやDellといった無害なファイル名を使用する偽装戦術を採用した。さらにBackstabのようなツールを展開してエンドポイント検知・対応(EDR)システムを無効化し、PowerShellを用いてアンチウイルス製品を無効化した。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Black Basta 、Mimikatzなどの認証情報スクレイピングツールを使用し、既知の脆弱性を悪用してネットワーク内で管理者権限を取得し、権限を昇格させた。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

SoftPerfect Network Scannerなどのネットワークスキャンツールを使用して、ネットワークをマッピングし、主要なシステムとデータストアを特定した。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
ラテラルムーブ

グループはBITSAdmin、PsExec、リモートデスクトッププロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使用してネットワークを横方向Cobalt Strike 。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

暗号化前に、データは収集され、外部への流出に備えて準備された。これには、転送準備のためのファイル圧縮やデータのステージングが含まれた。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

RCloneなどのツールが使用され、データを攻撃者管理のサーバーへ流出させた。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

ランサムウェアはChaCha20アルゴリズムとRSA-4096公開鍵を用いてファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加した。感染システムに残された身代金要求書は、被害者にTorサイト経由でグループに連絡するよう指示していた。

MITRE ATT&CK マッピング

が使用するTTPBlack Basta

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検出

Vectra AIで検知 アクターを検知 する方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

AWS Ransomware S3 Activity

Brute-Force

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

RPC Targeted Recon

もっと見る
攻撃の危険性を評価する

御社はサイバー攻撃から安全ですか?

攻撃の危険性を評価する

よくあるご質問(FAQ)

Blackbasta ランサムウェアとは?

Blackbastaは通常、どのようにしてネットワークに最初にアクセスするのですか?

BlackBastaが最もよく標的にする業界は?

BlackBasta攻撃の影響を最も受けている国は?

BlackBastaが使用する戦術、技術、手順(TTP)にはどのようなものがあるか?

BlackBastaは侵害されたネットワーク内でどのように特権をエスカレートさせるのか?

BlackBastaはどのような方法で検知を逃れるのか?

BlackBastaはネットワーク内でどのようにラテラルムーブするのか?

Blackbastaランサムウェア攻撃の典型的な段階とは?

Blackbastaランサムウェアから身を守るために、組織はどのような予防策を講じることができるのか?