블랙 바스타 활동 감지: FBI, CISA 및 파트너, 의료를 포함한 주요 인프라 부문을 노리는 랜섬웨어 공격 증가 경고
목차:
2024년 5월 현재, 악명 높은 Black Basta 랜섬웨어 운영자들은 전 세계 500개 이상의 조직을 침해했습니다. 증가하는 위협에 대응하여, 미국의 주요 및 글로벌 사이버 보안 기관들은 이 그룹의 증가하는 활동에 대해 경고하는 공동 사이버 보안 자문을 발행했으며, 이는 이미 의료 부문을 포함한 수십 개의 중요한 인프라 조직에 영향을 미쳤습니다.
Black Basta 랜섬웨어 감염 감지
2023년에만 랜섬웨어 공격 시도가 3억 건 이상 감지된 상황에서, 랜섬웨어 위협은 사이버 방어자들에게 여전히 가장 큰 도전 중 하나입니다. 비록 Black Basta RaaS는 사이버 분야에서 비교적 새로운 플레이어이지만, 이 악성 집단은 전 세계 수백 곳의 유명한 조직에 경제적 이익을 목표로 영향을 미쳤습니다.
개발 초기 단계에서 가능한 공격을 감지하고 예방적인 대처를 하기 위해 보안 전문가들은 Black Basta의 TTPs와 도구에 대한 최신 CSA 경고를 탐색할 수 있습니다. 또한, 사이버 보안 실무자들은 공격 방법을 설명하는 큐레이션된 Sigma 규칙 세트를 제공하는 SOC 프라임 플랫폼을 통해 집단 사이버 방어에 의존할 수 있습니다. AA24-131A 자문를 단일 클릭하여 관련 탐지 스택으로 직접 파고들 수 있습니다. 탐지 탐색 버튼을 클릭하여
모든 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 기술과 호환되며 MITRE ATT&CK® 프레임워크 v14.1에 매핑됩니다.또한, 탐지는 CTI 링크, ATT&CK 참조, 공격 타임라인 등 방대한 메타데이터로 강화됩니다.
Black Basta TTPs에 대한 추가 컨텍스트를 찾고 공격을 회고적으로 분석하고자 하는 보안 전문가들은 “Black Basta” 태그.
를 사용하여 위협 탐지 마켓플레이스에서 더 관련된 Sigma 규칙을 검색할 수 있습니다.
Black Basta 위협 행위자들은 적어도 2022년 봄부터 RaaS로 운영되고 있으며 북미, 유럽 및 호주에서 많은 기업과 중요한 인프라 조직을 주로 타겟으로 하고 있습니다. 이에 따르면, 공동 사이버 보안 자문 AA24-131A에따르면, 활발한 공격자 활동의 2년 동안 이 그룹은 전 세계 500개 이상의 조직에 영향을 미쳤으며, 이는 증가된 사이버 보안 의식 및 예방적 방어 조치의 필요성을 강조합니다.
FBI, CISA 및 파트너들은 진행 중인 랜섬웨어 공격에 대한 통찰을 공유하였으며, 최소한 10여 개의 중요한 인프라 엔터티는 적들에 의해 데이터 암호화 및 탈취에 노출되었습니다. 여기에는 의료 부문도 포함됩니다.
초기 접근을 위해, Black Basta는 일반적으로 피싱과 알려진 보안 취약점을 활용합니다. 더 나아가, 공격자들은 시스템을 암호화하고 데이터를 추출하는 이중 착취 접근을 사용합니다. 초기 몸값 요구나 지불 지침을 보내는 대신, Black Basta는 피해자에게 고유 코드를 제공하고 Tor 브라우저를 통해 접근 가능한 맞춤 URL을 통해 랜섬웨어 그룹에 연락할 것을 요청합니다.
네트워크 스캔 목적을 위해, Black Basta는 SoftPerfect(netscan.exe)와 같은 도구를 사용하며정찰 절차를 위해, 공격자들은 일반적으로 Intel 혹은 Dell과 같은 무해한 파일명을 가진 유틸리티를 활용합니다.
노출된 네트워크를 가로질러 이동하기 위해, Black Basta 담당자는 BITSAdmin, PsExec, RDP와 같은 유틸리티에 의존합니다. 또한 Splashtop, ScreenConnect및 Cobalt Strike 비콘을 원격 액세스에 사용할 수 있습니다. 권한 상승을 위해, Black Basta는 Mimikatz와 같은 자격 증명 스크래핑 유틸리티를 사용하며 취약점 악용의 이점을 취할 수도 있는데, 예를 들어 ZeroLogon ZeroLogon, CVE-2021-42287또는 PrintNightmare와 같은 알려진 보안 결함을 악용할 수 있습니다.
Black Basta 랜섬웨어 그룹은 RClone을 활용하여 침해된 시스템에서 데이터를 도난합니다. 데이터 탈취 전에, 그들은 PowerShell과 Backstab 유틸리티를 통해 탐지를 회피하는 경향이 있습니다. 그런 다음, ChaCha20 알고리즘과 RSA-4096 공개 키를 사용하여 파일을 암호화하고, 무작위 파일 확장자를 첨부하며 readme.txt라는 제목의 몸값 노트를 남기며 시스템 복구를 방해합니다.
대규모, 기술 의존성이 높고 민감한 데이터에 접근할 수 있는 영향으로 인해, 의료 조직은 Black Basta 랜섬웨어 그룹에게 매력적인 목표로 남아 있습니다. 보안 방어자들은 침해 위험을 줄이기 위해 중요한 조직들이 필수 소프트웨어 및 펌웨어 업데이트를 설치하고, 다중 인증을 적용하며, 원격 액세스 도구를 보호하고, 복구 절차를 용이하게 하기 위해 중요한 시스템과 장치 설정의 백업을 유지하도록 권장합니다. CISA와 파트너들도 제공된 일반적인 완화를 적용하여 #StopRansomware 가이드 랜섬웨어 공격과 데이터 탈취 위협의 영향 및 확률을 줄이기 위한
끊임없는 Black Basta 및 다른 랜섬웨어 동맹자들의 공격이 중요한 인프라 조직을 목표로 하는 가운데, 사이버 경계를 지속적으로 강화하고 방어를 강화하는 것은 중요합니다. AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 위한 SOC 프라임 완전 제품군 은 방어자들이 침입 위험을 최소화하고 보안 투자 가치를 극대화할 수 있게 합니다.