Black Basta
Black Basta’s operational methods highlighted their adaptability and willingness to exploit both technical vulnerabilities and human factors to achieve their goals. Understanding these tactics can help organizations bolster their defenses against such sophisticated threats.
その起源Black Basta
Black Basta was a financially motivated ransomware group active from early 2022 until January 2025, known for high-impact double extortion operations targeting organizations across North America, Europe, and Asia. The group compromised corporate networks to deploy ransomware payloads, exfiltrated sensitive data, and pressured victims into paying multimillion-dollar ransoms under threat of public leaks.
Black Basta often leveraged:
- 盗まれた認証情報、マルスパム、リモートデスクトップによる初期アクセス
- Cobalt Strikeブルートレイテル、カスタムローダーによるラテラルムーブ
- Mimikatz、RClone、PSExecのような、クレデンシャルダンピングやデータ流出のためのツール
- 恐喝のために流出させたデータをリークサイトで公開
The group has exhibited ties to advanced infrastructure management, including SOCKS proxy layers, phishing infrastructure, and modular tooling. It maintained Russian-language internal communications and coordinates through Matrix channels, often collaborating with affiliates or brokers.
Black Basta、重要インフラ、医療、法律、製造部門への攻撃に関連している。2024年において最も活発かつ構造化されたランサムウェアの1つと考えられています。
BlackBastaの標的国
Black Basta's operations spun multiple regions, with significant incidents reported in the United States, Germany, the United Kingdom, Canada, and Australia. These regions are often targeted due to their high-value industries and critical infrastructure.
BlackBastaの対象業界
Black Basta 特に医療・公衆衛生(HPH)部門は、その重要な性質とテクノロジーへの依存度から、幅広い業種を対象としている。その他にも、金融、製造、情報技術などのセクターが影響を受けている。
BlackBastaの犠牲者
More than 521 victims were targeted by Black Basta between April 2022 and January 2025.
BlackBastaの攻撃方法
Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.
Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.
The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.
Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.
Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.
The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.
Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.
Tools such as RClone were used to exfiltrate data to actor-controlled servers.
The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.
Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.
Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.
The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.
Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.
Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.
The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.
Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.
Tools such as RClone were used to exfiltrate data to actor-controlled servers.
The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.
が使用するTTPBlack Basta
How to Detect Threat Actors with Vectra AI
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
Blackbasta ランサムウェアとは?
Blackbastaは2022年4月に出現した巧妙なランサムウェアグループである。被害者のデータを暗号化し、身代金を支払わなければ機密情報を公開すると脅すという、二重の恐喝手口を使う。
Blackbastaは通常、どのようにしてネットワークに最初にアクセスするのですか?
BlackBastaは多くの場合、悪意のある添付ファイルやリンクを含むフィッシングメールを通じて最初のアクセスを獲得し、一般向けアプリケーションの脆弱性を悪用し、悪意のある広告やドライブバイダウンロードを利用します。
BlackBastaが最もよく標的にする業界は?
BlackBastaは、医療、製造、金融、法律、教育、政府、ITなど幅広い業界を対象としている。
BlackBasta攻撃の影響を最も受けている国は?
BlackBastaの主なターゲットは米国、カナダ、英国、ドイツ、フランス、オーストラリアの組織だが、グローバルに展開している。
BlackBastaが使用する戦術、技術、手順(TTP)にはどのようなものがあるか?
Blackbastaは、フィッシング (T1566)、コマンド・スクリプト・インタプリタ(T1059)、クレデンシャル・ダンピング(T1003)、セキュリティ・ツールの無効化(T1562)、インパクトのためのデータ暗号化(T1486)など、さまざまなTTPを採用しています。
BlackBastaは侵害されたネットワーク内でどのように特権をエスカレートさせるのか?
Blackbastaは、パッチが適用されていないソフトウェアの脆弱性を悪用し、Mimikatzのようなツールを使用してメモリから認証情報を抽出することで、特権をエスカレートさせる。
BlackBastaはどのような方法で検知を逃れるのか?
Blackbastaは、難読化技術を使用し、セキュリティツールを無効にし、LotL(Living Off Land)戦術を採用し、検出を回避するために正規のソフトウェアとツールを利用する。
BlackBastaはネットワーク内でどのようにラテラルムーブするのか?
BlackBastaは、リモート・デスクトップ・プロトコル(RDP)、Windows Management Instrumentation(WMI)、およびリモート・サービスを使用して、ネットワーク内を横方向に移動します。
Blackbastaランサムウェア攻撃の典型的な段階とは?
段階には、初期アクセス、特権の昇格、防御回避、クレデンシャルアクセス、発見、横移動、収集、実行、流出、影響が含まれる。
Blackbastaランサムウェアから身を守るために、組織はどのような予防策を講じることができるのか?
組織は、強固な電子メールフィルタリングの実装、脆弱性への迅速なパッチ適用、多要素認証の使用、従業員に対する定期的なセキュリティトレーニングの実施、異常な活動の監視、最新のバックアップの維持、脅威を迅速に特定し対応するための拡張検出およびレスポンス (XDR) システムの導入などにより、BlackBastaから保護することができます。