Conti Affiliates Black Basta, BlackByte Continue to Attack Critical Infrastructure
2022/11/08 InfoSecurity — 2022年の2月末から 7月中旬にかけて、BlackByte と Black Basta のデータ漏洩サイトに 81件の被害者組織が掲載された。そのうち 41% は欧州に拠点を置いており、大半がエネルギー/政府/運輸/製薬/施設/食品/教育などの主要インフラ分野に属している。残りの 59% は主に米国にあり、農業機械メーカー/小規模食料品チェーン/建設会社などの、複数の被害者が含まれている。
一連の最新データは、eSentire の TRU (Threat Response Unit) によるものであり、公表に先立って InfoSecurity と共有してくれた。
同レポートには、「この2つのランサムウェアの攻撃だが、被害を受けた大半の米国企業は、主要インフラ部門に属していないことが分かる。しかし、ヨーロッパに拠点を置く被害者組織は、輸送/エネルギー/政府施設/医薬品/食品/教育などの、主要なインフラ部門に属していることに間違いない」と記されている。
eSentire の Research and Reporting Lead である Keegan Keplinger によると、2022年5月に停止したと見られている Conti ランサムウェア・グループが、ヨーロッパをはじめとする世界の各組織を狙っているという。
Keplinger は InfoSecurity に対して、「典型的なランサムウェア・ブランドである Conti は、閉鎖したとされるが、むしろ Black Basta/BlackByte などの、他のランサムウェア・ブランドに事業を移行している。Conti はロシア国家に属し、ランサムウェア侵入モデルの先駆者としての企業組織構造を持ち、米国をはじめとする西側諸国/NATO 加盟国の重要インフラを、標的にする傾向があると認識されている」と語っている。
しかし、彼は、2021年夏から米大統領 Joe Biden が、ロシア大統領 Vladimir Putin に圧力をかけ始め、制裁と報復という脅し始めたことも付け加えている。
Keplinger は、「ロシアを拠点とする各ランサムウェア・グループは、特に Conti に関連している Black Basta/BlackByte は、制裁措置や国際法執行機関による標的化により、ランサムウェアとしての報酬が消滅するのを避けるために、米国からヨーロッパの NATO 関連国へと、標的を移行し始めた」と述べている。
eSentire のレポートによると、Black Basta は、4月に風力発電機サービス会社の Deutsche Windtechnik に、5月にはスイスの国営食品会社 The Groupe Laiteries Réunies と、ドイツの大手廃棄物処理会社 Jacob Becker に攻撃を仕掛けている。さらに、6月にはデンマークの鉄道会社 Lokaltog A/S と、イタリアの化学メーカー RadiciGroup も攻撃しているという。
その一方で BlackByte は、4月にスイスの国際輸送/物流会社 M+R Spedag Group を攻撃している。同レポートでは、さらに、イタリアの大手食品卸売会社/ギリシャの医薬品卸売会社/コロンビアのヘルスケア製品製造会社などに対する、ハッキングの試みも紹介されている。
eSentire の最新レポートは、このリンクから一般に公開されており、 Conti に関連する両方のハッキング・グループから、組織を保護するための推奨事項のリストも提供している。
同レポートは、SentinelLabs のセキュリティ研究者たちが、Black Basta と FIN7 脅威アクターが行った、ハッキング・オペレーションを関連付けた数日後に公開された。
BlackByte と Black Basta は、Conti のリブランドだという見方は、なんとなく納得できます。このブログでは、BlackByte の方が多く登場していますが、ポスト Cobalt Strike になるかと言われる Brute Ratel C4 を操る Black Basta も気になります。よろしければ、Conti で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.