クローボットからオープンクローへ:デジタル裏口としての自動化
ブログを読む

クローボットからオープンクローへ:デジタル裏口としての自動化ブログを読む →

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコンのボトムライン
ランサムウェア・グループ

Black Basta

  1. ステータス:
    非アクティブ
  1. ステータス:
    非アクティブ

Black Bastaの攻撃手法は、その適応力と、目的達成のために技術的脆弱性と人的要因の両方を悪用する意欲を浮き彫りにしました。これらの戦術を理解することは、組織がこのような高度な脅威に対する防御を強化するのに役立ちます。

Black BastaのTTP検知
サイバー攻撃から安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくある質問 (FAQ)
脅威ブリーフィングを見る
背景
対象国
産業
被害者

Black Bastaの起源

Black Bastaは、2022年初頭から2025年1月まで活動していた金銭目的のランサムウェアグループで、北米、ヨーロッパ、アジアの組織を標的とした大規模な二重の恐喝作戦で知られています。このグループは企業ネットワークを侵害してランサムウェアのペイロードを展開し、機密データを盗み出し、情報漏洩の脅迫によって被害者に数百万ドルの身代金を支払わせました。

Black Bastaはよく以下を活用します。

  • 盗まれた認証情報マルスパムリモートデスクトップによる初期アクセス
  • Cobalt Strikeブルートレイテル、カスタムローダーによるラテラルムーブ
  • MimikatzRClonePSExecのような、クレデンシャルダンピングやデータ流出のためのツール
  • 恐喝のために流出させたデータをリークサイトで公開

このグループは、SOCKSプロキシレイヤー、フィッシングインフラ、モジュラーツールなど、高度なインフラ管理とのつながりを示してきました。また、ロシア語による社内コミュニケーションを維持し、マトリックスチャネルを通じて連携し、関連会社やブローカーと連携することが多かったようです。

Black Bastaは、重要インフラ、医療、法務、製造業への攻撃と関連付けられています。2024年において最も活発かつ組織化されたランサムウェア攻撃の一つと考えられています。

出典:OCD

Black Bastaの標的国

Black Bastaの活動は複数の地域に広がっており、米国、ドイツ、英国、カナダ、オーストラリアで重大なインシデントが報告されています。これらの地域は、高付加価値産業や重要インフラを抱えているため、しばしば標的となっています。

出典:ransomware.live

BlackBastaの対象業界

Black Bastaは幅広い業界を標的としており、特に医療・公衆衛生(HPH)セクターは、その重要性とテクノロジーへの依存度の高さから、特に標的となっています。その他、金融、製造、情報技術などのセクターも影響を受けています。

グラフソースSocRadar

Healthcare

Federal

Higher Education

Financial Services and Banking

Manufacturing

BlackBastaの被害対象

2022年4月から2025年1月の間に、Black Bastaの標的となった被害者は521人以上に上りました。

出典:ransomware.live

攻撃方法

BlackBastaの攻撃方法

初期アクセス
権限昇格
粘り強さと防御回避
クレデンシャル・アクセス
ディスカバリー
ラテラルムーブ
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

Black Bastaの関連組織は、通常、スピアフィッシングメールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して初期アクセスを取得することも知られています。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

Mimikatzのようなツールが認証情報のスクレイピングに使用され、ZeroLogon (CVE-2020-1472)、NoPac (CVE-2021-42278、CVE-2021-42287)、PrintNightmare (CVE-2021-34527)などの脆弱性が悪用されて権限昇格が行われました。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

このグループは、IntelやDellといった無害なファイル名を使用する偽装戦術を採用しました。さらにBackstabのようなツールを展開してEDRシステムを無効化し、PowerShellを用いてアンチウイルス製品を無効化しました。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

Black Basta の関連組織は、Mimikatz などの認証情報スクレイピング ツールを使用して既知の脆弱性を悪用し、管理者アクセスを取得してネットワーク内で権限を昇格していました。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

SoftPerfect Network Scanner などのネットワーク スキャン ツールを使用して、ネットワークをマッピングし、主要なシステムとデータ ストアを識別しました。

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。

このグループは、BITSAdmin、PsExec、リモート デスクトップ プロトコル (RDP)、Splashtop、ScreenConnect、Cobalt Strike などのツールを使用して、ネットワーク間をラテラルムーブしました。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

暗号化以前は、データは収集され、持ち出しのために準備されていました。これには、転送に備えてファイルを圧縮したり、データをステージングしたりすることが含まれていました。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

RCloneなどのツールが使用され、データを攻撃者管理のサーバーへ流出させました。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

このランサムウェアは、RSA-4096公開鍵を用いたChaCha20アルゴリズムを用いてファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を付加しました。侵害されたシステムに残された身代金要求メッセージには、被害者に対しTorサイト経由でグループに連絡するよう指示されていました。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

Black Bastaの関連組織は、通常、スピアフィッシングメールを使用し、CVE-2024-1709などの既知の脆弱性を悪用します。また、有効な認証情報を悪用して初期アクセスを取得することも知られています。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
権限昇格

Mimikatzのようなツールが認証情報のスクレイピングに使用され、ZeroLogon (CVE-2020-1472)、NoPac (CVE-2021-42278、CVE-2021-42287)、PrintNightmare (CVE-2021-34527)などの脆弱性が悪用されて権限昇格が行われました。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

このグループは、IntelやDellといった無害なファイル名を使用する偽装戦術を採用しました。さらにBackstabのようなツールを展開してEDRシステムを無効化し、PowerShellを用いてアンチウイルス製品を無効化しました。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

Black Basta の関連組織は、Mimikatz などの認証情報スクレイピング ツールを使用して既知の脆弱性を悪用し、管理者アクセスを取得してネットワーク内で権限を昇格していました。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

SoftPerfect Network Scanner などのネットワーク スキャン ツールを使用して、ネットワークをマッピングし、主要なシステムとデータ ストアを識別しました。

相互接続された一連のノードと、その間をひそかに移動する影のような姿。これはネットワーク内を移動する攻撃者の動きを示しており、追加システムの制御獲得や拡散を企てている。 マルウェア。
ラテラルムーブ

このグループは、BITSAdmin、PsExec、リモート デスクトップ プロトコル (RDP)、Splashtop、ScreenConnect、Cobalt Strike などのツールを使用して、ネットワーク間をラテラルムーブしました。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

暗号化以前は、データは収集され、持ち出しのために準備されていました。これには、転送に備えてファイルを圧縮したり、データをステージングしたりすることが含まれていました。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行
一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

RCloneなどのツールが使用され、データを攻撃者管理のサーバーへ流出させました。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

このランサムウェアは、RSA-4096公開鍵を用いたChaCha20アルゴリズムを用いてファイルを暗号化し、ファイル名に.bastaまたはランダムな拡張子を付加しました。侵害されたシステムに残された身代金要求メッセージには、被害者に対しTorサイト経由でグループに連絡するよう指示されていました。

MITRE ATT&CK マッピング

Black Bastaが使用するTTP

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
プラットフォーム検知

Vectra AIで脅威アクターを検知する方法

Vectra AI プラットフォームで利用可能なランサムウェア攻撃を示す検知

AWS Ransomware S3 Activity

Brute-Force

M365 Internal Spearphishing

M365 Ransomware

Ransomware File Activity

RDP Recon

もっと見る
攻撃の危険性を評価する

サイバー攻撃から安全ですか?

攻撃の危険性を評価する

よくある質問 (FAQ)

Blackbasta ランサムウェアとは?

Black Bastaは通常、どのようにしてネットワークに最初にアクセスするのですか?

Black Bastaが最もよく標的にする業界は?

Black Basta攻撃の影響を最も受けている国は?

BlackBastaが使用する戦術、技術、手順(TTP)にはどのようなものがあるか?

Black Bastaは侵害されたネットワーク内でどのように特権をエスカレートさせるのか?

Black Bastaはどのような方法で検知を逃れるのか?

Black Bastaはネットワーク内でどのようにラテラルムーブするのか?

Black Bastaランサムウェア攻撃の典型的な段階とは?

Blackbastaランサムウェアから身を守るために、組織はどのような予防策を講じることができるのか?