ブラック・バスタ
Black Bastaの作戦手法は、彼らの適応能力の高さと、目標を達成するために技術的な脆弱性と人的要因の両方を悪用する意欲を浮き彫りにしている。このような手口を理解することは、このような巧妙な脅威に対する組織の防御を強化するのに役立ちます。
黒バスタの由来
Black Bastaは、2022年4月に初めて確認されたランサムウェア・アズ・ア・サービス(RaaS)の亜種である。このグループは、被害者のデータを暗号化し流出させることで活動し、北米、ヨーロッパ、オーストラリアで活動しています。2024年5月現在、Black Basta の関連会社は、16の重要なインフラ部門のうち少なくとも12を含む、世界全体で500以上の組織に影響を与えており、特に医療・公衆衛生(HPH)部門に大きな焦点を当てています。
研究者の中には、戦術、技術、手順(TTP)の類似性から、Black BastaがFIN7やContiのような他の犯罪グループと関連している可能性があると推測する者もいる。
ソースOCD
ターゲット
ブラックバスタの目標
ブラックバスタの対象国
Black Bastaの事業は複数の地域にまたがっており、米国、ドイツ、英国、カナダ、オーストラリアで重要な事件が報告されている。これらの地域は、価値の高い産業や重要なインフラを持つため、しばしば標的となります。
ブラックバスタの対象産業
Black Bastaは幅広い業界をターゲットにしており、特に医療・公衆衛生(HPH)セクターは、その重要な性質とテクノロジーへの依存から、そのターゲットとなっている。その他、金融、製造、情報技術などのセクターが影響を受けている。
ブラックバスタの対象産業
Black Bastaは幅広い業界をターゲットにしており、特に医療・公衆衛生(HPH)セクターは、その重要な性質とテクノロジーへの依存から、そのターゲットとなっている。その他、金融、製造、情報技術などのセクターが影響を受けている。
ブラックバスタの犠牲者
プライバシーやセキュリティ上の懸念から、最近の被害者の具体的な名前は必ずしも公表されていないかもしれないが、上記の分野の大手企業や機関を含む439以上の被害者を数えている。最近の報告では、医療システム、大手製造業、金融機関への攻撃が指摘されている。
攻撃方法
ブラックバスタの攻撃方法
Black Bastaの関連組織は、通常、スピアフィッシング メールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して最初のアクセスを取得することも知られています。マルウェアです。
Mimikatzのようなツールはクレデンシャルのスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)のような脆弱性は特権をエスカレートさせるために悪用される。
このグループは、IntelやDellといった無害なファイル名を使用することで、仮装の手口を用いています。レスポンス また、Backstabのようなツールを使用してエンドポイント検出システム(EDR)を無効にし、PowerShellを使用してウイルス対策製品を無効にします。
Black Bastaの関連会社は、Mimikatzのようなクレデンシャル・スクレイピング・ツールを使用し、既知の脆弱性を悪用して管理者アクセス権を獲得し、ネットワーク内で特権を昇格させる。
SoftPerfect Network Scannerのようなネットワークスキャンツールは、ネットワークをマッピングし、主要なシステムやデータストアを特定するために使用されます。
このグループは、BITSAdmin、PsExec、リモート・デスクトップ・プロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使って、ネットワークを横断的に移動する。
暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。
暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。
RCloneのようなツールは、行為者が管理するサーバーにデータを流出させるために使用される。このデータは多くの場合、被害者に身代金の支払いを迫るために利用されます。
このランサムウェアは、RSA-4096公開鍵によるChaCha20アルゴリズムを使用してファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加します。侵害されたシステムに残された身代金のメモは、被害者にTorサイトを通じてグループに連絡するよう指示している。
初期アクセス
Black Bastaの関連組織は、通常、スピアフィッシング メールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して最初のアクセスを取得することも知られています。マルウェアです。
特権エスカレーション
Mimikatzのようなツールはクレデンシャルのスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)のような脆弱性は特権をエスカレートさせるために悪用される。
防御回避
このグループは、IntelやDellといった無害なファイル名を使用することで、仮装の手口を用いています。レスポンス また、Backstabのようなツールを使用してエンドポイント検出システム(EDR)を無効にし、PowerShellを使用してウイルス対策製品を無効にします。
クレデンシャル・アクセス
Black Bastaの関連会社は、Mimikatzのようなクレデンシャル・スクレイピング・ツールを使用し、既知の脆弱性を悪用して管理者アクセス権を獲得し、ネットワーク内で特権を昇格させる。
ディスカバリー
SoftPerfect Network Scannerのようなネットワークスキャンツールは、ネットワークをマッピングし、主要なシステムやデータストアを特定するために使用されます。
横の動き
このグループは、BITSAdmin、PsExec、リモート・デスクトップ・プロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使って、ネットワークを横断的に移動する。
コレクション
暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。
実行
暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。
データ流出
RCloneのようなツールは、行為者が管理するサーバーにデータを流出させるために使用される。このデータは多くの場合、被害者に身代金の支払いを迫るために利用されます。
インパクト
このランサムウェアは、RSA-4096公開鍵によるChaCha20アルゴリズムを使用してファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加します。侵害されたシステムに残された身代金のメモは、被害者にTorサイトを通じてグループに連絡するよう指示している。
MITRE ATT&CK マッピング
ブラック・バスタが使用したTTP
Black Bastaは、MITRE ATT&CK のフレームワークに沿った様々なTTPを採用している。主なTTPには次のようなものがある:
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検出
How to検知 黒バスタ withVectra AI
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
Blackbasta ランサムウェアとは?
Blackbastaは2022年4月に出現した巧妙なランサムウェアグループである。被害者のデータを暗号化し、身代金を支払わなければ機密情報を公開すると脅すという、二重の恐喝手口を使う。
Blackbastaは通常、どのようにしてネットワークに最初にアクセスするのですか?
ブラックバスタは多くの場合、悪意のある添付ファイルやリンクを含むフィッシングメールを通じて最初のアクセスを獲得し、一般向けアプリケーションの脆弱性を悪用し、悪意のある広告やドライブバイダウンロードを利用します。
ブラックバスタが最もよく標的にする業界は?
ブラックバスタは、医療、製造、金融、法律、教育、政府、ITなど幅広い業界を対象としている。
ブラックバスタ攻撃の影響を最も受けている国は?
ブラックバスタの主なターゲットは米国、カナダ、英国、ドイツ、フランス、オーストラリアの組織だが、グローバルに展開している。
ブラックバスタが使用する戦術、技術、手順(TTP)にはどのようなものがあるか?
Blackbastaは、フィッシング (T1566)、コマンド・スクリプト・インタプリタ(T1059)、クレデンシャル・ダンピング(T1003)、セキュリティ・ツールの無効化(T1562)、インパクトのためのデータ暗号化(T1486)など、さまざまなTTPを採用しています。
ブラックバスタは侵害されたネットワーク内でどのように特権をエスカレートさせるのか?
Blackbastaは、パッチが適用されていないソフトウェアの脆弱性を悪用し、Mimikatzのようなツールを使用してメモリから認証情報を抽出することで、特権をエスカレートさせる。
ブラックバスタはどのような方法で検知を逃れるのか?
Blackbastaは、難読化技術を使用し、セキュリティツールを無効にし、LotL(Living Off Land)戦術を採用し、検出を回避するために正規のソフトウェアとツールを利用する。
ブラックバスタはネットワーク内でどのように横方向に移動するのか?
ブラックバスタは、リモート・デスクトップ・プロトコル(RDP)、Windows Management Instrumentation(WMI)、およびリモート・サービスを使用して、ネットワーク内を横方向に移動します。
Blackbastaランサムウェア攻撃の典型的な段階とは?
段階には、初期アクセス、特権の昇格、防御回避、クレデンシャルアクセス、発見、横移動、収集、実行、流出、影響が含まれる。
Blackbastaランサムウェアから身を守るために、組織はどのような予防策を講じることができるのか?
組織は、強固な電子メール・フィルタリングの実装、脆弱性への迅速なパッチ適用、多要素認証の使用、従業員に対する定期的なセキュリティ・トレーニングの実施、異常な活動の監視、最新のバックアップの維持、脅威を迅速に特定し対応するための拡張検出およびレスポンス (XDR) システムの導入などにより、ブラックバスタから保護することができます。