セキュリティ プロバイダーの Quadrant は、Black Basta 攻撃をライブで追跡し、技術的背景を評価することに成功しました。 専門家は Black Basta でのプロセスを知りませんが、抜け穴を発見し、監視できるようになりました。 これは、この方法では使用できなくなったブラックバスタの構造全体に大きな打撃を与えます。
Quadrant は最近、Black Basta ランサムウェア グループによる企業規模の侵害で顧客を支援しました。 このグループは、中規模から大規模の企業を標的とすることで知られる「サービスとしてのランサムウェア」(RaaS) 組織です。
評価されたブラックバスタのライブアタック
同社は現在、侵害の過程の概要を提供しています フィッシング キャンペーンの成功からランサムウェアの急増の試みまで、観察されたマルウェアとテクニックのテクニカル分析。 攻撃者の行動の正確な詳細はまだ不明ですが、収集された証拠により、多くのエクスプロイトについて結論を出すことができました。 顧客データは変更されていますが、悪意のあるドメイン名を含む侵害の痕跡は変更されていません。
攻撃全体は、認識されたフィッシング メールから始まりました。 最初のフィッシング メールの後、攻撃者は別のドメインから同様のアカウント名を使用して、追加のフィッシング メールをクライアントに送信しました。 「Qakbot」では、電子メールに接続試行を開始する高度なトロイの木馬が含まれていました。 Suricata エンジンはこれらの接続試行を検出しましたが、パケット検査エンジンによってアラートは生成されませんでした。
ロシアのC2ドメインへの直接連絡先
Quadrant は、Suricata 検出エンジンを実行するオンプレミスのパケット検査エンジン (PIE) アプライアンスを使用して、インバウンドおよびアウトバウンドのエンタープライズ トラフィックを監視します。 最後に、マルウェアはアクティブな C2 サーバーを見つけることができました。 最初の感染から、侵害されたホストと C2 ドメイン間の最初の通信が成功するまでに約 35 分かかりました。
第 XNUMX 段階のペイロードは、後に Brute Ratel 侵入テスト フレームワークである可能性が高いことが判明し、ロシアからの IP への接続を介してダウンロードされました。 その後、さまざまな手順を経て管理者アクセスが可能になりました。 その後、攻撃者は新しい管理者アカウントも環境に追加しました。 最後に、ESXi サーバーは暗号化されましたが、攻撃は封じ込められ、大きな損害は回避されました。
攻撃中にブラック バスタの「バックエンド オペレーション」に関して得られたすべての洞察は、Quadrant によって専門家の話として用意されています。 Black Basta 攻撃に関するすべての技術データの背景が明らかになり、他の専門家に対して透明になりました。 これは、他のセキュリティ チームも Black Basta の技術プラットフォームについて十分な洞察を持ち、攻撃をより簡単に認識して予防策を講じることができることを意味します。
赤/セル
詳しくは Quadrantsec.com をご覧ください