Black Basta
Black Bastaの作戦手法は、彼らの適応能力の高さと、目標を達成するために技術的な脆弱性と人的要因の両方を悪用する意欲を浮き彫りにしている。このような手口を理解することは、組織がこのような巧妙な脅威に対する防御を強化するのに役立ちます。
その起源Black Basta
Black Bastaは、2022年初頭から2025年1月まで活動していた金銭的動機に基づくランサムウェアグループで、北米、ヨーロッパ、アジア全域の組織を標的としたインパクトの強い二重の恐喝作戦で知られています。このグループは、ランサムウェアのペイロードを展開するために企業ネットワークを侵害し、機密データを流出させ、被害者に圧力をかけて、公開リークの脅威の下で数百万ドルの身代金を支払わせました。
Black Bastaはよくテコ入れをする:
- 盗まれた認証情報、マルスパム、リモートデスクトップによる初期アクセス
- Cobalt Strikeブルートレイテル、カスタムローダーによる横方向への動き
- Mimikatz、RClone、PSExecのような、クレデンシャルダンピングやデータ流出のためのツール
- 恐喝のために流出させたデータをリークサイトで公開
このグループは、SOCKSプロキシ層、フィッシング、モジュラー・ツールなど、高度なインフラ管理とのつながりを示している。ロシア語による内部コミュニケーションを維持し、マトリックスチャネルを通じて連携し、しばしば関連会社やブローカーと協力している。
Black Basta、重要インフラ、医療、法律、製造部門への攻撃に関連している。2024年において最も活発かつ構造化されたランサムウェアの1つと考えられています。
BlackBastaの対象国
Black Bastaの事業は複数の地域にまたがっており、米国、ドイツ、英国、カナダ、オーストラリアで重大なインシデントが報告されている。これらの地域は、価値の高い産業や重要なインフラを有しているため、しばしば標的とされる。
BlackBastaの対象産業
Black Basta 特に医療・公衆衛生(HPH)部門は、その重要な性質とテクノロジーへの依存度から、幅広い業種を対象としている。その他にも、金融、製造、情報技術などのセクターが影響を受けている。
BlackBastaの犠牲者
プライバシーやセキュリティ上の懸念から、最近の被害者の具体的な名前は必ずしも公表されていないかもしれないが、上記の分野の大手企業や機関を含む439以上の被害者を数えている。最近の報告では、医療システム、大手製造業、金融機関への攻撃が指摘されている。
BlackBastaの攻撃方法
Black Bastaの関連組織は、通常、スピアフィッシング メールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して最初のアクセスを取得することも知られています。マルウェアです。
Mimikatzのようなツールはクレデンシャルのスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)のような脆弱性は特権をエスカレートさせるために悪用される。
このグループは、IntelやDellといった無害なファイル名を使用することで、仮装の手口を用いています。レスポンス また、Backstabのようなツールを使用してエンドポイント検出システム(EDR)を無効にし、PowerShellを使用してウイルス対策製品を無効にします。
Black Basta アフィリエイトは、Mimikatzのようなクレデンシャル・スクレイピング・ツールを使用し、既知の脆弱性を悪用して、管理者アクセス権を獲得し、ネットワーク内の特権をエスカレートさせる。
SoftPerfect Network Scannerのようなネットワークスキャンツールは、ネットワークをマッピングし、主要なシステムやデータストアを特定するために使用されます。
このグループは、BITSAdmin、PsExec、リモート・デスクトップ・プロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使って、ネットワークを横断的に移動する。
暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。
暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。
RCloneのようなツールは、行為者が管理するサーバーにデータを流出させるために使用される。このデータは多くの場合、被害者に身代金の支払いを迫るために利用されます。
このランサムウェアは、RSA-4096公開鍵によるChaCha20アルゴリズムを使用してファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加します。侵害されたシステムに残された身代金のメモは、被害者にTorサイトを通じてグループに連絡するよう指示している。
Black Bastaの関連組織は、通常、スピアフィッシング メールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して最初のアクセスを取得することも知られています。マルウェアです。
Mimikatzのようなツールはクレデンシャルのスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)のような脆弱性は特権をエスカレートさせるために悪用される。
このグループは、IntelやDellといった無害なファイル名を使用することで、仮装の手口を用いています。レスポンス また、Backstabのようなツールを使用してエンドポイント検出システム(EDR)を無効にし、PowerShellを使用してウイルス対策製品を無効にします。
Black Basta アフィリエイトは、Mimikatzのようなクレデンシャル・スクレイピング・ツールを使用し、既知の脆弱性を悪用して、管理者アクセス権を獲得し、ネットワーク内の特権をエスカレートさせる。
SoftPerfect Network Scannerのようなネットワークスキャンツールは、ネットワークをマッピングし、主要なシステムやデータストアを特定するために使用されます。
このグループは、BITSAdmin、PsExec、リモート・デスクトップ・プロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使って、ネットワークを横断的に移動する。
暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。
暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。
RCloneのようなツールは、行為者が管理するサーバーにデータを流出させるために使用される。このデータは多くの場合、被害者に身代金の支払いを迫るために利用されます。
このランサムウェアは、RSA-4096公開鍵によるChaCha20アルゴリズムを使用してファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加します。侵害されたシステムに残された身代金のメモは、被害者にTorサイトを通じてグループに連絡するよう指示している。
が使用するTTPBlack Basta
検知 Black Basta Vectra AIを使う方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
Blackbasta ランサムウェアとは?
Blackbastaは2022年4月に出現した巧妙なランサムウェアグループである。被害者のデータを暗号化し、身代金を支払わなければ機密情報を公開すると脅すという、二重の恐喝手口を使う。
Blackbastaは通常、どのようにしてネットワークに最初にアクセスするのですか?
BlackBastaは多くの場合、悪意のある添付ファイルやリンクを含むフィッシングメールを通じて最初のアクセスを獲得し、一般向けアプリケーションの脆弱性を悪用し、悪意のある広告やドライブバイダウンロードを利用します。
BlackBastaが最もよく標的にする業界は?
BlackBastaは、医療、製造、金融、法律、教育、政府、ITなど幅広い業界を対象としている。
BlackBasta攻撃の影響を最も受けている国は?
BlackBastaの主なターゲットは米国、カナダ、英国、ドイツ、フランス、オーストラリアの組織だが、グローバルに展開している。
BlackBastaが使用する戦術、技術、手順(TTP)にはどのようなものがあるか?
Blackbastaは、フィッシング (T1566)、コマンド・スクリプト・インタプリタ(T1059)、クレデンシャル・ダンピング(T1003)、セキュリティ・ツールの無効化(T1562)、インパクトのためのデータ暗号化(T1486)など、さまざまなTTPを採用しています。
BlackBastaは侵害されたネットワーク内でどのように特権をエスカレートさせるのか?
Blackbastaは、パッチが適用されていないソフトウェアの脆弱性を悪用し、Mimikatzのようなツールを使用してメモリから認証情報を抽出することで、特権をエスカレートさせる。
BlackBastaはどのような方法で検知を逃れるのか?
Blackbastaは、難読化技術を使用し、セキュリティツールを無効にし、LotL(Living Off Land)戦術を採用し、検出を回避するために正規のソフトウェアとツールを利用する。
BlackBastaはネットワーク内でどのように横方向に移動するのか?
BlackBastaは、リモート・デスクトップ・プロトコル(RDP)、Windows Management Instrumentation(WMI)、およびリモート・サービスを使用して、ネットワーク内を横方向に移動します。
Blackbastaランサムウェア攻撃の典型的な段階とは?
段階には、初期アクセス、特権の昇格、防御回避、クレデンシャルアクセス、発見、横移動、収集、実行、流出、影響が含まれる。
Blackbastaランサムウェアから身を守るために、組織はどのような予防策を講じることができるのか?
組織は、強固な電子メールフィルタリングの実装、脆弱性への迅速なパッチ適用、多要素認証の使用、従業員に対する定期的なセキュリティトレーニングの実施、異常な活動の監視、最新のバックアップの維持、脅威を迅速に特定し対応するための拡張検出およびレスポンス (XDR) システムの導入などにより、BlackBastaから保護することができます。