Palo Alto Networks のマルウェア分析チームである Unit 42 は、2022 年 XNUMX 月に初めて出現し、それ以来増加している Black Basta ランサムウェア グループの詳細を示すレポートをリリースしました。
ランサムウェアの出現以来、このグループのメンバーは、企業への配布と強要に非常に積極的に取り組んできました。 攻撃者はサイバー犯罪市場とブログを運営しており、グループは被害者の名前、説明、公開率、アクセス数、および盗み出したデータをリストしています。
Black Basta が独自のリーク ページを運営
メンバーが活動を開始してから数か月しか経っていませんが、リーク サイトに公開されている情報によると、すでに 75 を超える企業や機関に侵入しています。 Palo Alto Networks の調査によるその他の重要な調査結果には、次のようなものがあります。
- · RaaS は、攻撃の一部として二重恐喝を使用します。
- ランサムウェアが展開されてから最初の 20 週間で、少なくとも XNUMX 人の被害者のデータがリーク サイトに公開されました。
- · このグループは、消費者および工業製品、エネルギー、資源および農業、製造、公益事業、運輸、政府機関、専門サービスおよびコンサルティング、および不動産セクターの複数の大企業を標的にしていると報告されています。
ブラックバスタ - まとめ
Black Basta は、2022 年 75 月に初めて登場したサービスとしてのランサムウェア (RaaS) です。 ただし、42 月から開発中であるという証拠があります。 Black Basta のオペレーターは、二重恐喝手法を使用します。 彼らは標的のシステム上のファイルを暗号化し、解読のために身代金を要求するだけでなく、被害者が身代金を支払わなければ機密情報を公開すると脅迫するダーク Web 上のリーク サイトを維持します。 Black Basta のパートナーは、ランサムウェアが最初に出現して以来、Black Basta の拡散と恐喝事業に積極的に取り組んできました。 彼らは活動を開始してから数か月しか経っていませんが、リークサイトで公開された情報によると、この公開時点ですでに XNUMX を超える企業や機関に感染しています。 ユニット XNUMX は、いくつかのブラック バスタ ケースにも取り組んできました。
Black Basta はファイルの一部のみを暗号化します
このランサムウェアは C++ で記述されており、Windows と Linux オペレーティング システムの両方に影響を与えます。 ChaCha20 と RSA-4096 の組み合わせでユーザーのデータを暗号化します。 暗号化プロセスを高速化するために、ランサムウェアは 64 バイトのチャンクで暗号化し、暗号化されたセクション間に暗号化されていない 128 バイトのデータを残します。 ランサムウェアが暗号化する速度が速ければ速いほど、防御が開始される前に、より多くのシステムが危険にさらされる可能性があります. これは、パートナーがサービスとしてのランサムウェア グループに参加する際に注意する重要な要素です。
QBot はエントリ ポイントとして機能します
Palo Alto Networks の Unit 42 は、Black Basta ランサムウェア グループが、侵害されたネットワーク上を横方向に移動するための最初のエントリ ポイントとして QBot を使用していることを確認しました。 Qakbot としても知られる QBot は、バンキング型トロイの木馬として始まり、マルウェア ドロッパーに進化した Windows マルウェアの亜種です。 また、MegaCortex、ProLock、DoppelPaymer、Egregor など、他のランサムウェア グループでも使用されています。 これらのランサムウェア グループは初期アクセスに QBot を使用していましたが、Black Basta グループは初期アクセスとサイド ネットワーク配布の両方に QBot を使用していることが確認されました。
さらに攻撃が続く
2022 年の Black Basta 攻撃は世界的なセンセーションを巻き起こし、繰り返し発生したため、サービスの背後にあるオペレーターおよび/またはその関連パートナーは、企業を標的にして強要し続ける可能性があります。 これは新しい操作ではなく、パートナーを連れてきた以前のランサムウェア グループの再起動である可能性もあります。 被害者を侮辱するブログ、復旧ポータル、交渉戦術、Black Basta が被害者を一斉検挙する速さなど、戦術、手法、および手順に多くの類似点があるため、このグループには Conti グループの現在または以前のメンバーが含まれる可能性があります。 Blue Sky や Cuba などの他の最近のランサムウェア研究に続くこの分析の詳細は、PaloAltoNetworks の Unit42 でオンラインで入手できます。
もっと見る PaloAltoNetworks.com
パロアルトネットワークスについて サイバーセキュリティ ソリューションのグローバル リーダーである Palo Alto Networks は、人々や企業の働き方を変革するテクノロジーによって、クラウドベースの未来を形作っています。 私たちの使命は、優先されるサイバーセキュリティ パートナーとなり、私たちのデジタル ライフを保護することです。 人工知能、分析、自動化、およびオーケストレーションにおける最新のブレークスルーを活用した継続的なイノベーションにより、世界最大のセキュリティの課題に対処するお手伝いをします。 統合プラットフォームを提供し、拡大するパートナーのエコシステムを強化することで、クラウド、ネットワーク、モバイル デバイス全体で何万もの企業を保護するリーダーとなっています。 私たちのビジョンは、毎日が以前よりも安全な世界です。