Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

Black Basta

Black Bastaの作戦手法は、彼らの適応能力の高さと、目標を達成するために技術的な脆弱性と人的要因の両方を悪用する意欲を浮き彫りにしている。このような手口を理解することは、組織がこのような巧妙な脅威に対する防御を強化するのに役立ちます。

検知 Black BastaTTP
貴社はBlack Bastaの攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
国名
産業
被害者

その起源Black Basta

Black Bastaは、2022年初頭から2025年1月まで活動していた金銭的動機に基づくランサムウェアグループで、北米、ヨーロッパ、アジア全域の組織を標的としたインパクトの強い二重の恐喝作戦で知られています。このグループは、ランサムウェアのペイロードを展開するために企業ネットワークを侵害し、機密データを流出させ、被害者に圧力をかけて、公開リークの脅威の下で数百万ドルの身代金を支払わせました。

Black Basta よくテコ入れをする:

  • 盗まれた認証情報マルスパムリモートデスクトップによる初期アクセス
  • Cobalt Strikeブルート・レイテル、カスタム・ローダーによる横方向への動き
  • MimikatzRClonePSExecのような、クレデンシャル・ダンピングやデータ流出のためのツール
  • 恐喝のために流出させたデータをリークサイトで公開

このグループは、SOCKSプロキシ層、phishing 、モジュラー・ツールなど、高度なインフラ管理とのつながりを示している。ロシア語による内部コミュニケーションを維持し、マトリックスチャネルを通じて連携し、しばしば関連会社やブローカーと協力している。

Black Basta 、重要インフラ、医療、法律、製造部門への攻撃に関連している。2024年において最も活発かつ構造化されたランサムウェアの1つと考えられています。

ソース OCD

BlackBastaの対象国

Black Bastaの事業は複数の地域にまたがっており、米国、ドイツ、英国、カナダ、オーストラリアで重大なインシデントが報告されている。これらの地域は、価値の高い産業や重要なインフラを有しているため、しばしば標的とされる。

出典:ransomware.live

BlackBastaの対象産業

Black Basta 特に医療・公衆衛生(HPH)部門は、その重要な性質とテクノロジーへの依存度から、幅広い業種を対象としている。その他にも、金融、製造、情報技術などのセクターが影響を受けている。

グラフソースSocRadar

Healthcare

Federal

Higher Education

Financial Services and Banking

Manufacturing

BlackBastaの犠牲者

プライバシーやセキュリティ上の懸念から、最近の被害者の具体的な名前は必ずしも公表されていないかもしれないが、上記の分野の大手企業や機関を含む439以上の被害者を数えている。最近の報告では、医療システム、大手製造業、金融機関への攻撃が指摘されている。

出典:ransomware.live

攻撃方法

BlackBastaの攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Black Bastaの関連組織は、通常、スピアフィッシング メールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して最初のアクセスを取得することも知られています。マルウェアです。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

Mimikatzのようなツールはクレデンシャルのスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)のような脆弱性は特権をエスカレートさせるために悪用される。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、IntelやDellといった無害なファイル名を使用することで、仮装の手口を用いています。レスポンス また、Backstabのようなツールを使用してエンドポイント検出システム(EDR)を無効にし、PowerShellを使用してウイルス対策製品を無効にします。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Black Basta アフィリエイトは、Mimikatzのようなクレデンシャル・スクレイピング・ツールを使用し、既知の脆弱性を悪用して、管理者アクセス権を獲得し、ネットワーク内の特権をエスカレートさせる。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

SoftPerfect Network Scannerのようなネットワークスキャンツールは、ネットワークをマッピングし、主要なシステムやデータストアを特定するために使用されます。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

このグループは、BITSAdmin、PsExec、リモート・デスクトップ・プロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使って、ネットワークを横断的に移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

RCloneのようなツールは、行為者が管理するサーバーにデータを流出させるために使用される。このデータは多くの場合、被害者に身代金の支払いを迫るために利用されます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

このランサムウェアは、RSA-4096公開鍵によるChaCha20アルゴリズムを使用してファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加します。侵害されたシステムに残された身代金のメモは、被害者にTorサイトを通じてグループに連絡するよう指示している。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Black Bastaの関連組織は、通常、スピアフィッシング メールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して最初のアクセスを取得することも知られています。マルウェアです。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

Mimikatzのようなツールはクレデンシャルのスクレイピングに使用され、ZeroLogon(CVE-2020-1472)、NoPac(CVE-2021-42278、CVE-2021-42287)、PrintNightmare(CVE-2021-34527)のような脆弱性は特権をエスカレートさせるために悪用される。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

このグループは、IntelやDellといった無害なファイル名を使用することで、仮装の手口を用いています。レスポンス また、Backstabのようなツールを使用してエンドポイント検出システム(EDR)を無効にし、PowerShellを使用してウイルス対策製品を無効にします。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Black Basta アフィリエイトは、Mimikatzのようなクレデンシャル・スクレイピング・ツールを使用し、既知の脆弱性を悪用して、管理者アクセス権を獲得し、ネットワーク内の特権をエスカレートさせる。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

SoftPerfect Network Scannerのようなネットワークスキャンツールは、ネットワークをマッピングし、主要なシステムやデータストアを特定するために使用されます。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

このグループは、BITSAdmin、PsExec、リモート・デスクトップ・プロトコル(RDP)、Splashtop、ScreenConnect、Cobalt Strike といったツールを使って、ネットワークを横断的に移動する。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

暗号化の前に、データを収集し、流出の準備をする。これには、ファイルを圧縮したり、転送に備えてデータをステージングしたりすることが含まれる。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

RCloneのようなツールは、行為者が管理するサーバーにデータを流出させるために使用される。このデータは多くの場合、被害者に身代金の支払いを迫るために利用されます。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

このランサムウェアは、RSA-4096公開鍵によるChaCha20アルゴリズムを使用してファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を追加します。侵害されたシステムに残された身代金のメモは、被害者にTorサイトを通じてグループに連絡するよう指示している。

MITRE ATT&CK マッピング

が使用するTTPBlack Basta

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検出

検知 Black Basta Vectra AIを使う方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

AWS Ransomware S3 Activity

Brute-Force

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

RPC Targeted Recon

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

Blackbasta ランサムウェアとは?

Blackbastaは2022年4月に出現した巧妙なランサムウェアグループである。被害者のデータを暗号化し、身代金を支払わなければ機密情報を公開すると脅すという、二重の恐喝手口を使う。

Blackbastaは通常、どのようにしてネットワークに最初にアクセスするのですか?

BlackBastaは多くの場合、悪意のある添付ファイルやリンクを含むフィッシングメールを通じて最初のアクセスを獲得し、一般向けアプリケーションの脆弱性を悪用し、悪意のある広告やドライブバイダウンロードを利用します。

BlackBastaが最もよく標的にする業界は?

BlackBastaは、医療、製造、金融、法律、教育、政府、ITなど幅広い業界を対象としている。

BlackBasta攻撃の影響を最も受けている国は?

BlackBastaの主なターゲットは米国、カナダ、英国、ドイツ、フランス、オーストラリアの組織だが、グローバルに展開している。

BlackBastaが使用する戦術、技術、手順(TTP)にはどのようなものがあるか?

Blackbastaは、フィッシング (T1566)、コマンド・スクリプト・インタプリタ(T1059)、クレデンシャル・ダンピング(T1003)、セキュリティ・ツールの無効化(T1562)、インパクトのためのデータ暗号化(T1486)など、さまざまなTTPを採用しています。

BlackBastaは侵害されたネットワーク内でどのように特権をエスカレートさせるのか?

Blackbastaは、パッチが適用されていないソフトウェアの脆弱性を悪用し、Mimikatzのようなツールを使用してメモリから認証情報を抽出することで、特権をエスカレートさせる。

BlackBastaはどのような方法で検知を逃れるのか?

Blackbastaは、難読化技術を使用し、セキュリティツールを無効にし、LotL(Living Off Land)戦術を採用し、検出を回避するために正規のソフトウェアとツールを利用する。

BlackBastaはネットワーク内でどのように横方向に移動するのか?

BlackBastaは、リモート・デスクトップ・プロトコル(RDP)、Windows Management Instrumentation(WMI)、およびリモート・サービスを使用して、ネットワーク内を横方向に移動します。

Blackbastaランサムウェア攻撃の典型的な段階とは?

段階には、初期アクセス、特権の昇格、防御回避、クレデンシャルアクセス、発見、横移動、収集、実行、流出、影響が含まれる。

Blackbastaランサムウェアから身を守るために、組織はどのような予防策を講じることができるのか?

組織は、強固な電子メールフィルタリングの実装、脆弱性への迅速なパッチ適用、多要素認証の使用、従業員に対する定期的なセキュリティトレーニングの実施、異常な活動の監視、最新のバックアップの維持、脅威を迅速に特定し対応するための拡張検出およびレスポンス (XDR) システムの導入などにより、BlackBastaから保護することができます。

貴社はBlack Bastaの攻撃に対して安全ですか?

攻撃の危険性を評価する