ブラックバスタ活動の検出：FBI、CISA、およびパートナーがヘルスケアを含む重要インフラセクターを狙うランサムウェア攻撃の増加を警告

2024年5月現在、悪名高い Black Bastaランサムウェア操作員は 世界中の500以上の組織に侵入しています。脅威が拡大する中、米国の主要なグローバルサイバーセキュリティ機関は、グループの活動が増加していることに注意を呼びかける共同サイバーセキュリティ勧告を発表しました。この活動は、医療分野を含む多数の重要インフラ組織にすでに影響を与えています。

Black Bastaランサムウェア感染の検知

2023年だけでも3億回以上のランサムウェア攻撃試行が検出されたため、ランサムウェアの脅威はサイバー防御者にとって最大の課題の1つです。Black Basta RaaSはサイバー領域では比較的新しい存在ですが、この悪意のある集団は金銭的利益を求めて世界中の数百の重要な組織に影響を与えています。

プロアクティブに攻撃の可能性を最初の段階で検知するため、安全専門家はBlack BastaのTTPとツールを詳述した最新のCSAアラートを参照するかもしれません。さらに、SOC Primeプラットフォームを利用すれば、攻撃方法に対応したキュレーションされたシグマルールセットを提供する集合的サイバー防御に頼ることができます。 AA24-131A勧告をクリックして、関連する検知スタックに直ちに掘り下げてください。 検知を探る ボタンを押して、関連する検知スタックに直ちに掘り下げてください。

検知を探る

すべてのルールは30以上のSIEM、EDR、データレイク技術と互換性があり、 MITRE ATT＆CK® フレームワーク v14.1 とマッピングされています。さらに、検知はCTIリンク、ATT＆CK参照、攻撃タイムラインなどの幅広いメタデータで強化されています。

Black BastaのTTPに関する追加の背景情報を求め、過去の攻撃を分析したいセキュリティ専門家は、 「Black Basta」タグ.

Black Bastaランサムウェア攻撃分析

Black Basta脅威行動者は 2022年春以来注目されており、RaaSとして活動し主に北米、ヨーロッパ、オーストラリアの多くの企業および重要インフラ組織をターゲットにしています。 共同サイバーセキュリティ勧告AA24-131Aによれば、活動的な敵対者の活動期間2年間で、世界中の500以上の組織に影響を及ぼしており、サイバーセキュリティの意識向上と積極的な防御策の必要性を強調しています。

FBI、CISA、およびパートナーは、継続するランサムウェア攻撃に関する洞察を共有しており、医療分野を含む少なくとも十数の重要インフラ企業がデータの暗号化および流出にさらされています。

初期アクセスのために、Black Bastaは一般的にフィッシングを利用し、既知のセキュリティ欠陥を武器化します。さらに、敵対者は二重脅迫アプローチを採用し、システムの暗号化とデータの抽出の両方を行います。最初の身代金要求や支払いガイドラインを送る代わりに、Black Bastaは被害者にユニークなコードを提供し、Torブラウザを介してアクセス可能なカスタムURLでランサムウェアグループと連絡を取るよう促します。

ネットワークスキャンの目的で、Black BastaはSoftPerfect（netscan.exe）などのツールを使用し、偵察手続きのためには、IntelやDellのような無害に見えるファイル名を持つユーティリティを一般に活用します。

公開ネットワークを横断するために、Black Bastaの提携者はBITSAdmin、PsExec、RDPなどのユーティリティに頼ります。また、Splashtopや ScreenConnect、および Cobalt Strikeビーコン を利用して遠隔アクセスします。権限昇格のために、Black BastaはMimikatzのようなクレデンシャルスクレーピングユーティリティを使用し、 ZeroLogon CVE-2021-42287 ZeroLogon, CVE-2021-42287、またはPrintNightmare既知のセキュリティ欠陥を悪用することも可能です。

Black Bastaランサムウェアグループは、RCloneを利用して侵害されたシステムからデータを盗みます。データ流出の前に、PowerShellやBackstabユーティリティを介して検知を回避する傾向があります。次に、ChaCha20アルゴリズムを使用してファイルを暗号化し、RSA-4096公開キーとランダムなファイル拡張子を追加し、system recoveryを妨げながらreadme.txtという題名の身代金メモを残します。

その規模、大きな技術依存、及び機密データアクセスのため、医療機関はBlack Bastaランサムウェアギャングにとって魅力的なターゲットであり続けます。侵害リスクを低減するために、防御者は重要な組織に必要なすべてのソフトウェアとファームウェアの更新をインストールし、多要素認証を適用し、リモートアクセスツールキットを保護し、重要なシステムとデバイスの設定のバックアップを維持して回復手順を容易にするよう推奨されます。CISAとパートナーはまた、 #StopRansomwareガイド で提供される一般的な緩和策を適用し、ランサムウェア攻撃とデータ恐喝脅威の影響と確率を排除することを推奨しています。

Black Bastaやその他のランサムウェア系列が重要インフラ組織を狙った攻撃の増加に伴い、サイバー警戒を強化し防衛を固めることが重要です。 SOC Primeの完全製品スイート によるAI駆動の検知エンジニアリング、自動化された脅威ハンティング＆検知スタック検証により、防御者は侵入のリスクを最小限に抑え、セキュリティ投資の価値を最大化できます。