Black Basta Ransomware Hit Over 500 Organizations
2924/05/13 SecurityWeek — Black Basta ランサムウェア・グループが、世界 500以上の組織を攻撃して、その中には北米/欧州/豪州などの重要なインフラ事業体が含まれると、米国政府が警告している。2022年4月に初めて確認された Black Basta は、RaaS (ransomware-as-a-service) を用いて活動している。彼らのビジネス・モデルは、自身のアフィリエイトたちに対して、標的へのサイバー攻撃とマルウェア展開を実行させ、支払われた身代金の一部を得るという仕組みである。
ブロックチェーン分析会社の Elliptic は、2023年11月のレポートで、Black Basta のアフィリエイトが少なくとも 90の被害者組織から、$100M 以上の身代金の支払いを受けたと推定している。
CISA/FBI/HHS (Health and Human Services)/MS-ISAC (Multi-State Information Sharing and Analysis Center) の新たな警告によると、Black Basta のアフィリエイトたちは、医療機関を含む 16分野の重要インフラのうち、12分野に対して攻撃を行っているという。
アフィリエイトたちは、フィッシングと既知の脆弱性の悪用により、攻撃のイニシャル・アクセスを獲得していた。悪用された脆弱性のひとつとして挙げられている ConnectWise ScreenConnect の脆弱性 CVE-2024-1709 は、2月19日に公表されてから、わずか数日後に悪用され始めたことが判明している。
被害者のネットワークの侵害に成功したアフィリエイトは、リモート・アクセス/ネットワーク・スキャン/横移動/権限昇格/データ流出などを達成するために、SoftPerfect/BITSAdmin/PsExec/Mimikatz/RClone などの各種ツールを展開していた。
また、Black Basta のアフィリエイトは、特権昇格のために ZeroLogon/NoPac/PrintNightmare などの脆弱性を悪用し、横移動のために RDP (Remote Desktop Protocol) を悪用している。また、EDR (endpoint detection and response ) ソリューションを無効化するために、Backstab ツールを展開することも確認されている。
このアフィリエイトは、被害者のデータを流出させた後に、ボリューム・シャドー・コピーを削除して復旧を妨げ、侵害したシステムをランサムウェアの展開により暗号化し、ランサム・ノートを投下する。
CISA/FBI/HHS/MS-ISAC による新しい警告では、Black Basta のアフィリエイトが採用する TTPs (tactics, techniques, and procedures)/IoC (indicators of compromise) や、推奨される緩和策の詳細などが提供されている。
同文書には、「医療機関が、サイバー犯罪者にとって魅力的な標的となるのは、その事業規模/技術的依存度/個人医療情報へのアクセス/患者ケアの中断といった、特殊な事情による。Black Basta などのランサムウェア攻撃による、侵害の可能性を低減するために、私たちが強く求めるのは、HPH セクターおよび全ての重要なインフラ組織において、緩和策のセクションにある推奨事項が適用されることだ」と記されている。
2024年1月に、ハッキング研究のためのコンサルティング・シンクタンクである SRLabs は、Black Basta の被害者が身代金を支払うことなく、データを回復できるよう、無料の復号化ツールをリリースしている。
Black Basta の被害が、かなりの規模になっているようです。つい先日にポストした、2024/05/01 の「2024 Q1 のランサムウェア活動調査:LockBit/Black Basta/Play がトップに – ReliaQuest」でも、Black Basta は 41% 増とされていました。よろしければ、Black Basta で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.