英 BT Group でデータ侵害が発生:Black Basta ランサムウェア・グループが犯行を主張

Telecom Giant BT Group Hit by Black Basta Ransomware

2024/12/05 HackRead — 英国の大手通信企業である British Telecom (BT) Group への、Black Basta によるランサムウェア攻撃が発生した。BT の Conferencing セクションを標的とした、この攻撃により、同社はサーバのシャットダウンとデータ盗難に見舞われた。

SUMMARY
  • BT Group へのランサムウェア攻撃が発生:同社の Conferencing セクションに、Black Basta がランサムウェア攻撃を仕掛け、一部のサーバがオフライン状態に陥った。
  • データ盗難が発生:Black Basta の主張は、財務/企業/個人情報を含む 500GB の機密データを盗んだというものだ。さらに彼らは、身代金を支払わないと、それらのデータを流出させると BT Group を脅迫した。
  • BT Group の対応:BT Group の発表によると、この攻撃の影響は、Conferencing プラットフォームの一部に限定されており、コアサービスには影響がないという。同社は、当局と協力して調査中であると述べている。
  • Black Basta の手口:このグループは、イニシャル・アクセスを獲得するために、Microsoft Teams などのプラットフォームを介して、高度なソーシャル・エンジニアリング攻撃を仕掛けた。そこでは、Email bombing などの戦術が用いられた。
  • 世界的規模のランサムウェアの脅威:これまでに Black Basta は、500以上の組織を標的にして、重要インフラ分野に影響を与えてきた。それにより、浮き彫りにされるのは、強固なサイバー・セキュリティ対策の必要性である。

11月28日にも、英国の複数の NHS 医療機関に対して、INC ランサムウェア攻撃が発生している。そして、その数日後に、同国の大手通信会社である BT Group が、Black Basta のランサムウェア攻撃に遭った。BT Group の攻撃で主標的にされたのは、同社の Conferencing 事業セクションであり、同社は予防措置として、特定サーバのオフラインを余儀なくされた。

BT Group の声明は、この攻撃によるサービスや顧客データへの影響は、ごく僅かであるというものだ。その一方で、Black Basta の主張は、500 GB もの機密情報を盗み出したというものだ。その証拠として、盗んだ文書のスクリーンショットやフォルダのリストが公開されている。

Black Basta のデータ流出サイトには、ドメイン “btci.com” と “btconferencing.com” が追加され、身代金を支払わないと、それらのデータを公開すると、BT Group は脅迫されている。盗まれたデータには、金融/企業などに関するデータと、パスポートのコピーなどの個人情報が含まれていた。Black Basta が提示した、身代金の正確な金額は明らかにされていない。

BT Group は、このインシデントについて、関連当局と協力して調査中であると、Hackread.com に対して述べている。同社の声明は、この攻撃の影響は Conferencing プラットフォームの一部に限られており、コアサービスは引き続き稼働しているというものだ。

BT Group  の広報担当者は、「当社の BT Conferencing プラットフォームへの侵害が発見された。この攻撃の影響は、プラットフォームの一部に限られており、それらが発見た後に迅速にオフライン化され、隔離された。この攻撃のあらゆる側面について、我々は引き続き調査を進めている。また、対応の一環として、関連する規制当局および法執行機関と協力している」とコメントしている。

これまでの2年間において Black Basta は、世界中の 500以上の組織に対して攻撃を仕掛けてきた。そこで標的とされた対象には、重要インフラ 16分野における 12分野も含まれる。また、過去において Black Basta の被害に遭った企業には、Ascension Healthcare/Hyundai Europe/Capita/Yellow Pages Canada/Dish などが含まれる。

2022年にロシアがウクライナに侵攻し、Conti が解体された後に、RaaS (Ransomware-as-a-Service) の一種である Black Basta は登場している。FBI と CISA の共同勧告 “#StopRansomware: Black Basta“ によると、Black Basta が世界経済に与えた影響は甚大であるという。

Rapid 7 の調査で明らかになったのは、Black Basta がソーシャル・エンジニアリング手法を改良していることである。このグループの攻撃は、さまざまなメーリング・リストから、被害者に対してメールを大量に送信し、ターゲットの焦りと混乱を煽ることから始まるという。

CISA と FBI は、共同勧告を 11月8日に更新している。そこで追加されたのは、「最近の Black Basta の攻撃では、Email Bombing が用いられている。この手法は、ターゲットのアドレスに大量のスパム・メールを送信するものだ。Black Basta は、この手法を使用して Microsoft Teams 上でソーシャル・エンジニアリング攻撃を強化し、被害者であるエンド・ユーザーを騙して、RMM (remote monitoring and management) ツール経由でイニシャル・アクセスを取得している」という部分である。

この手口により、自身のデバイスへのリモート・アクセスを、被害者が許可してしまうケースが多いという。その結果として、マルウェアの展開/機密情報の窃取などのアクションを、攻撃者は達成していくという。

このインシデントが示唆するのは、たとえリソースが豊富な大企業であっても、ランサムウェアによる攻撃が、依然として深刻な脅威であるという点だ。企業における機密データの保護と、事業継続性の確立のためには、高度なサイバー・セキュリティ対策への投資が必要であり、その傾向は今後も強まっていくだろう。

British Telecom に対する、Black Basta ランサムウェア攻撃が何らかの成果を上げ、データリーク・サイトでサンプル・データが公開されているようです。大西洋を挟んだ米国では、Salt Typhoon によるテレコム侵害が大きな騒ぎになっています。攻撃者の意図と目的は異なりますが、大手のテレコムが侵害されたという共通点があります。よろしければ、Black Basta で検索を、ご参照ください。