Copilotと Microsoft Azureの新しいVectra AI Platformの適用範囲を紹介する。

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
cybercriminels
>
ランサムウェア・グループ

バシェ

Basheは、かつてAPT73またはEraleigとして知られていたランサムウェア・グループで、2024年にLockBitに似た手口で出現し、先進国全体の重要な産業を標的とし、Torベースのデータ流出サイト(DLS)を通じてデータの強奪を活用しました。

検知 バシェのTTP
あなたの組織はバシェの攻撃から安全ですか?
背景
ターゲット
TTP
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る

バシェの由来

APT73やEraleig Ransomwareとして知られていたBasheは、2024年4月中旬に出現し、当初は「Advanced Persistent Threat(APT)」を自称していました。この自称は、高度に洗練され、十分な資金を持つサイバー・アクターにのみ許される一般的なもので、Basheが自らを信頼できる脅威として売り込むための戦略の一環であると思われる。Basheは、データ漏えいサイト(DLS)の類似性から、LockBitランサムウェア・グループからスピンオフしたと考えられている。BasheのDLSの構造には、"Contact Us"、"How to Buy Bitcoin"、"Web Security Bug Bounty"、"Mirrors "のセクションがあり、LockBitのセットアップに見られるものと同じである。

Basheは、チェコ共和国のインフラをホストとするTorネットワークを通じて活動している。このネットワークは、DarkAngels、Vice Society、TrickBot、Meduza Stealer、Rimasutaなど、いくつかの悪意のあるグループやmalware が以前から利用していたものです。このようなインフラの選択は、Basheが検知を逃れるために使い慣れたシステムを活用している可能性を示唆している。

バシェの由来
ターゲット

バシェの目標

バシェの対象国

同グループの活動は、北米、英国、フランス、ドイツ、インド、オーストラリアの組織に影響を与えたと報告されている。Basheが貴重なデータ資産を持つ先進国に焦点を当てていることは、被害の可能性を最大化するためのグローバルなアプローチを浮き彫りにしている。

画像ソース ランサムウェア.ライブ

バシェが狙う産業

バシェは、テクノロジー、ビジネスサービス、製造業、消費者サービス、金融サービスなどの高価値セクターを優先しているようだ。また、輸送、物流、医療、建設なども標的としている。これらの業種に焦点を当てることで、Basheは、機密データや必要不可欠なデータを扱う業種を標的にすることで、身代金要求への影響力を最大化することができる。

バシェが狙う産業

バシェは、テクノロジー、ビジネスサービス、製造業、消費者サービス、金融サービスなどの高価値セクターを優先しているようだ。また、輸送、物流、医療、建設なども標的としている。これらの業種に焦点を当てることで、Basheは、機密データや必要不可欠なデータを扱う業種を標的にすることで、身代金要求への影響力を最大化することができる。

バシェの犠牲者

バシェはこれまでに約35人の犠牲者を出している。

攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス
基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション
デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避
ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス
拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー
一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き
大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション
デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出
ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト
MITRE ATT&CK マッピング

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
No items found.
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
プラットフォーム検出

Vectra AIを使った検知 ランサムウェア攻撃の方法

Basheの戦術、技術、手順(TTPs)はまだ研究中であるが、LockBitとの類似性から可能性の高い活動を評価することができる。以下は、典型的なランサムウェア攻撃の際にトリガーされるVectra AI 検出の概要である:

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

もっと見る
攻撃の危険性を評価する

よくあるご質問(FAQ)

あなたの組織はバシェの攻撃から安全ですか?

攻撃の危険性を評価する