ブラック・バスタ

ブラック・バスタとは?

Black Basta(別名BlackBasta)はランサムウェアの運営者であり、Ransomware-as-a-Service(RaaS)の犯罪企業で、2022年初頭に最初に出現し、すぐに世界で最も活発なRaaSの脅威行為者の1つとなり、最初の数ヶ月で19の著名な企業の被害者と100人以上の確認された被害者を積み上げた。Black Bastaは、当社 、日本、カナダ、英国、オーストラリア、ニュージーランドの組織を標的としており、スプレー・アンド・スプレー方式ではなく、高度な標的型攻撃を仕掛けている。このグループの身代金要求の手口は、被害者の重要なデータや重要なサーバーを暗号化し、グループの公開リークサイトで機密データを公開すると脅すという、二重の恐喝戦術を用いている。

Black Bastaの中核メンバーは、マルウェア開発、リークサイト、交渉、支払い、データ復旧のための通信に対するアプローチが類似していることから、消滅したConti脅威アクターグループから生まれたと考えられています。また、Black Bastaは、カスタムEDR(Endpoint Detection and Response)回避モジュールや、コマンド・アンド・コントロール(C2)操作のためのIPアドレスの重複使用などの類似点から、FIN7(AKA Carbanak)脅威アクターとも関連しています。

ブラックバスタ最新ニュース

黒バスタの攻撃の仕組み

初期のキャンペーンでは、Black Bastaの攻撃は、初期アクセスを獲得するための高度に標的化されたスピアフィッシング・キャンペーンから始まりました。2022年4月、Black Bastaは企業のネットワークアクセスを購入し、その利益を提携する初期アクセスブローカー(IAB)と共有することを宣伝し始めました。初期アクセスを獲得した後、Black Bastaは、Windowsドメイン認証情報を取得し、ターゲットのネットワークに横方向に侵入し、機密データを盗み、ランサムウェアを展開するために、さまざまな第2段階の戦術を展開します。 

第2段階の目標を達成するために、Black Bastaは、QakBotステーラー(別名:QBotまたはPinkslipbot)、MimiKatz、およびクレデンシャル・ハーベスティングのためのネイティブWindows Management Instrumentation(WMI)APIの悪用など、多様な戦術を使用し、次にPowershellおよびPsExecコマンドを使用して、抽出されたクレデンシャルを使用して隣接するネットワーク・エンドポイントにアクセスします。Black Bastaはまた、ZeroLogon、NoPac、PrintNightmareの脆弱性を悪用して、ローカルおよびWindows Active Domainの特権を昇格させることができます。感染したシステムのC2リモートコントロールのために、Black BastaはCobalt Strike Beaconsをインストールし、C2プロキシにSystemBCを使用し、データ流出にRcloneツールを使用します。

Black Basta 攻撃の暗号化段階では、まずウイルス対策製品を無効にし、PowerShell を介してリモートで暗号化ペイロードを実行し、vssadmin.exe プログラムを使用してシステムシャドウコピーを削除します。そこから、Black Bastaは、最初に観測されて以来、少なくとも1回の大幅なバージョン変更を経てきたカスタムランサムウェアのペイロードを実行します。Black Bastaの暗号化モジュールの最初のバージョンは、Contiランサムウェアに似ていました。対照的に、改良された第2バージョンは、EDR製品を回避するために高度な難読化とランダム化されたファイル名を使用し、GNU Multiple Precision Arithmetic Library(GMP)アルゴリズムの使用をCrypto++暗号化ライブラリに置き換えています。Black Basta 2.0 暗号化モジュールは、対称暗号化に XChaCha20 アルゴリズムを使用し、暗号化には一意の楕円曲線暗号 (ECC) キー・ペアを使用し、復号化には対称キーを ECC 公開キーとともに暗号化されたファイル・データに nonce を付加します。

Black Bastaは、侵害されたシステムのDNSサービスを無効化し、インターネットにアクセスできないようにして復旧プロセスを複雑にしたり、LinuxベースのVMware ESXi仮想マシン(VM)をターゲットにしたランサムウェアの亜種を展開したりするなど、攻撃には他にも独特の手法を使用しています。 

黒バスタ攻撃の兆候

Black Bastaランサムウェアの初期バージョンは、標準的なアンチウイルス製品によって使用される静的な検出方法を回避するために文字列の難読化とランダム化されたファイル名を実装している、より回避的な第二の反復よりも検出が容易であった。

Black Basta ランサムウェア攻撃は、暗号化されたファイルに .basta または ransom 拡張子を付加し、盗まれたデータが公開されるリークサイトへのリンクを含む身代金メモ「readme.txt」を被害者のデスクトップに作成します。他のランサムウェア攻撃と Black Basta 攻撃を区別するもう一つの方法は、暗号化された各ファイルの冒頭を調べることです。Black Basta は、各ファイルの先頭にユニークな 133 バイトのエフェメラル NIST P-521 公開鍵、32 バイトの鍵 XChaCha20、24 バイトの nonce、20 バイトの HMAC を付加する斬新な暗号化スキームを使用しています。この後、可変長のヌル・バイト・パディングと一意の12バイト・キャンペーン識別子が、暗号化されたファイル素材の開始前に続く。 

ブラックバスタの攻撃を防ぐには

Black Basta 攻撃を防ぐには、攻撃者が最初のアクセスを獲得するのを防ぐための防御戦術、高度なエンドポイントセキュリティ製品の導入、ランサムウェア攻撃の成功から迅速にリカバリできる効果的なバックアップ戦略の維持など、包括的な企業サイバーセキュリティプログラムの実施にかかっています。

ブラックバスタの攻撃から身を守るための戦術には次のようなものがある:

  • フィッシング・テクニックについて担当者を教育するためのユーザー意識向上トレーニングを検討し、不審な電子メールや文書を取り扱うための標準作業手順書(SOP)を作成する。
  • Black Bastaの既知のTTPに関するネットワーク・セキュリティ・コントロールをレビューし、既知のBlack BastaのIoCとファイル・シグネチャを検出する準備をする。
  • エンドポイントの不審な動作を監視する高度なエンドポイントセキュリティ製品のインストールと設定
  • 最新のアイデンティティ・アクセス管理ツールの導入
  • 十分に保護されたオフライン・バックアップによる信頼性の高いバックアップ戦略を導入し、目標平均復旧時間(MTTR)目標を達成できるよう災害復旧手順を実践する。

CylanceOPTICS ランサムウェア攻撃を防ぐ

CylanceOPTICS®は、根本原因分析、スマートな脅威ハンティング、自動化された検出と対応機能により、セキュリティインシデントを防止するために、人工知能(AI)を使用してデバイス上での脅威検出と修復を提供します。当社のEDR(Endpoint Detection and Response)アプローチは、レスポンスの遅延を効果的に解消します。これは、軽微なセキュリティ・インシデントと、制御不能な広範なイベントとの違いとなります。
さらに詳しく

関連リソース

リソース・アイコン データ損失防止(DLP) リソース・アイコン エンドポイントセキュリティ リソース・アイコン エンドポイント・プロテクション・プラットフォーム(EPP) リソース・アイコン エンドポイント検出と応答(EDR) リソース・アイコン エクステンデッド・ディテクション&レスポンス(XDR) リソース・アイコン アイデンティティとアクセス管理(IAM) リソース・アイコン マネージド・ディテクション&レスポンス リソース・アイコン マネージドXDR リソース・アイコン MITRE ATT&CK フレームワーク リソース・アイコン モバイル脅威防御(MTD) リソース・アイコン ユーザーとエンティティの行動分析(UEBA) リソース・アイコン ゼロ・トラスト・アーキテクチャ リソース・アイコン ゼロ・トラスト・ネットワーク・アクセス(ZTNA) リソース・アイコン ゼロ・トラスト・セキュリティ リソース・アイコン セキュリティ情報・イベント管理(SIEM) リソース・アイコン セキュアアクセスサービスエッジ(SASE)
その他のリソース