Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW
最新レポート

Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
  1. cybercriminels
    >
  2. ランサムウェア・グループ

Black Basta

Black Bastaの作戦手法は、彼らの適応能力の高さと、目標を達成するために技術的な脆弱性と人的要因の両方を悪用する意欲を浮き彫りにしている。このような手口を理解することは、組織がこのような巧妙な脅威に対する防御を強化するのに役立ちます。

検知 Black BastaTTP
貴社はBlack Bastaの攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
国名
産業
被害者

その起源Black Basta

Black Bastaは、2022年初頭から2025年1月まで活動していた金銭的動機に基づくランサムウェアグループで、北米、ヨーロッパ、アジア全域の組織を標的としたインパクトの強い二重の恐喝作戦で知られています。このグループは、ランサムウェアのペイロードを展開するために企業ネットワークを侵害し、機密データを流出させ、被害者に圧力をかけて、公開リークの脅威の下で数百万ドルの身代金を支払わせました。

Black Bastaはよくテコ入れをする:

  • 盗まれた認証情報マルスパムリモートデスクトップによる初期アクセス
  • Cobalt Strikeブルートレイテル、カスタムローダーによるラテラルムーブ
  • MimikatzRClonePSExecのような、クレデンシャルダンピングやデータ流出のためのツール
  • 恐喝のために流出させたデータをリークサイトで公開

このグループは、SOCKSプロキシ層、フィッシング、モジュラー・ツールなど、高度なインフラ管理とのつながりを示している。ロシア語による内部コミュニケーションを維持し、マトリックスチャネルを通じて連携し、しばしば関連会社やブローカーと協力している。

Black Basta、重要インフラ、医療、法律、製造部門への攻撃に関連している。2024年において最も活発かつ構造化されたランサムウェアの1つと考えられています。

ソース:OCD

BlackBastaの対象国

Black Bastaの事業は複数の地域にまたがっており、米国、ドイツ、英国、カナダ、オーストラリアで重大なインシデントが報告されている。これらの地域は、価値の高い産業や重要なインフラを有しているため、しばしば標的とされる。

出典:ransomware.live

BlackBastaの対象産業

Black Basta 特に医療・公衆衛生(HPH)部門は、その重要な性質とテクノロジーへの依存度から、幅広い業種を対象としている。その他にも、金融、製造、情報技術などのセクターが影響を受けている。

グラフソースSocRadar

Healthcare

Federal

Higher Education

Financial Services and Banking

Manufacturing

BlackBastaの犠牲者

プライバシーやセキュリティ上の懸念から、最近の被害者の具体的な名前は必ずしも公表されていないかもしれないが、上記の分野の大手企業や機関を含む439以上の被害者を数えている。最近の報告では、医療システム、大手製造業、金融機関への攻撃が指摘されている。

出典:ransomware.live

攻撃方法

BlackBastaの攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Black Bastaの関連組織は、通常、スピアフィッシング メールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して最初のアクセスを取得することも知られています。マルウェアです。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

Mimikatzのようなツールはクレデンシャルのスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)のような脆弱性は特権をエスカレートさせるために悪用される。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、IntelやDellといった無害なファイル名を使用することで、仮装の手口を用いています。レスポンス また、Backstabのようなツールを使用してエンドポイント検出システム(EDR)を無効にし、PowerShellを使用してウイルス対策製品を無効にします。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Black Basta アフィリエイトは、Mimikatzのようなクレデンシャル・スクレイピング・ツールを使用し、既知の脆弱性を悪用して、管理者アクセス権を獲得し、ネットワーク内の特権をエスカレートさせる。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

SoftPerfect Network Scannerのようなネットワークスキャンツールは、ネットワークをマッピングし、主要なシステムやデータストアを特定するために使用されます。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

このグループは、BITSAdmin、PsExec、リモート・デスクトップ・プロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使って、ネットワークを横断的に移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

RCloneのようなツールは、行為者が管理するサーバーにデータを流出させるために使用される。このデータは多くの場合、被害者に身代金の支払いを迫るために利用されます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

このランサムウェアは、RSA-4096公開鍵によるChaCha20アルゴリズムを使用してファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加します。侵害されたシステムに残された身代金のメモは、被害者にTorサイトを通じてグループに連絡するよう指示している。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Black Bastaの関連組織は、通常、スピアフィッシング メールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して最初のアクセスを取得することも知られています。マルウェアです。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

Mimikatzのようなツールはクレデンシャルのスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)のような脆弱性は特権をエスカレートさせるために悪用される。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

このグループは、IntelやDellといった無害なファイル名を使用することで、仮装の手口を用いています。レスポンス また、Backstabのようなツールを使用してエンドポイント検出システム(EDR)を無効にし、PowerShellを使用してウイルス対策製品を無効にします。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Black Basta アフィリエイトは、Mimikatzのようなクレデンシャル・スクレイピング・ツールを使用し、既知の脆弱性を悪用して、管理者アクセス権を獲得し、ネットワーク内の特権をエスカレートさせる。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

SoftPerfect Network Scannerのようなネットワークスキャンツールは、ネットワークをマッピングし、主要なシステムやデータストアを特定するために使用されます。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

このグループは、BITSAdmin、PsExec、リモート・デスクトップ・プロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使って、ネットワークを横断的に移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

RCloneのようなツールは、行為者が管理するサーバーにデータを流出させるために使用される。このデータは多くの場合、被害者に身代金の支払いを迫るために利用されます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

このランサムウェアは、RSA-4096公開鍵によるChaCha20アルゴリズムを使用してファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加します。侵害されたシステムに残された身代金のメモは、被害者にTorサイトを通じてグループに連絡するよう指示している。

MITRE ATT&CK マッピング

が使用するTTPBlack Basta

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検出

検知 Black Basta Vectra AIを使う方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

AWS Ransomware S3 Activity

Brute-Force

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

RPC Targeted Recon

もっと見る
攻撃の危険性を評価する

貴社はBlack Bastaの攻撃に対して安全ですか?

攻撃の危険性を評価する

よくあるご質問(FAQ)

Blackbasta ランサムウェアとは?

Blackbastaは通常、どのようにしてネットワークに最初にアクセスするのですか?

BlackBastaが最もよく標的にする業界は?

BlackBasta攻撃の影響を最も受けている国は?

BlackBastaが使用する戦術、技術、手順(TTP)にはどのようなものがあるか?

BlackBastaは侵害されたネットワーク内でどのように特権をエスカレートさせるのか?

BlackBastaはどのような方法で検知を逃れるのか?

BlackBastaはネットワーク内でどのように横方向に移動するのか?

Blackbastaランサムウェア攻撃の典型的な段階とは?

Blackbastaランサムウェアから身を守るために、組織はどのような予防策を講じることができるのか?