ブラックバスタランサムウェアが最新のソーシャルエンジニアリング戦術で反撃
Table of Contents
Black Basta ランサムウェアとは何ですか?
Black Basta は、2022 年に出現した高度なランサムウェアです。現在は解散したContiグループの残党から進化したと考えられています。ネットワークに侵入するために主に自動化システムに依存する従来のランサムウェアとは異なり、Black Basta は高度なマルウェアとソーシャル エンジニアリング技術を組み合わせて使用します。この二重のアプローチにより、組織に侵入して目的を達成する能力が強化されます。
Black Basta は当初、 QakBotなどのボットネットを利用してシステムに侵入することで知られていましたが、その後戦術を多様化してきました。最近の攻撃活動では、このグループが標的との欺瞞的なやり取りに依存していることが明らかになっており、組織内の脆弱性を突く適応力の高さが浮き彫りになっています。
ブラックバスタは何を望んでいるのか?
Black Basta の主な目的は金銭の獲得です。多くのランサムウェア グループと同様に、Black Basta の活動は標的の組織内の機密データを暗号化し、復号キーと引き換えに金銭を要求することを中心に行われます。ただし、この目的を達成するためのアプローチは独特のニュアンスを持っています。
このグループは、活動を支援するためにさまざまなマルウェア ツールを使用しています。これには、認証情報収集ソフトウェア、カスタム トンネリング ユーティリティ、侵害されたネットワーク内の重要なシステムを識別するように設計された偵察ツールが含まれます。これらのテクニックにより、Black Basta はデータを盗み出し、被害者のインフラストラクチャを制御して、要求に応じるよう圧力をかけることができます。
ソーシャルエンジニアリング:彼らの戦略の鍵
Black Basta のキャンペーンで注目すべき点は、ソーシャル エンジニアリングを利用してターゲット環境にアクセスすることです。その戦術には、IT 担当者やサポート スタッフになりすまし、Microsoft Teams などのプラットフォームを介して連絡を取ることが含まれます。被害者は、技術的な問題を解決するという名目で、AnyDesk や TeamViewer などの正規のリモート アクセス ソフトウェアをインストールするように説得されます。このアクセスにより、攻撃者は Zbot (ZLoader とも呼ばれる) や DarkGate などのツールを含む追加のマルウェアを展開できます。
場合によっては、多数のメーリング リストにユーザーを登録させ、大量のメールを大量に送りつける攻撃が見受けられます。この手法はメール ボムと呼ばれ、攻撃者が直接接触する前に、被害者を圧倒して気をそらすことを目的としています。こうしたソーシャル エンジニアリングの策略は、多くの場合、認証情報の収集、多要素認証 (MFA) の回避、組織のネットワークへのより深いアクセスの確立を試みることにつながります。
組織への影響
Black Basta ランサムウェア攻撃の影響は、身代金の支払いに伴う直接的な金銭的損失をはるかに超える可能性があります。このグループは認証情報を盗み、VPN 構成にアクセスし、MFA をバイパスできるため、組織の業務継続性とデータの整合性に重大なリスクをもたらします。さらに、彼らの戦術には機密データの流出が含まれることが多く、それがさらなる恐喝に利用されたり、地下市場で販売されたりする可能性があります。
Black Basta が使用するマルウェア ツールは、潜在的な被害をさらに拡大します。これには次のような高度なユーティリティが含まれます。
- KNOTWRAP : ファイルの痕跡を残さずに追加のペイロードを配信するメモリ専用のドロッパーです。
- KNOTROCK : ランサムウェアのペイロードを実行するために使用される .NET ユーティリティ。
- DAWNCRY : 悪意のあるリソースをメモリに直接復号化する、別のメモリ専用ドロッパーです。
- PORTYARD : コマンドアンドコントロールサーバーとの通信を確立するトンネリングツール。
- COGSCAN : ネットワーク環境をマッピングするための偵察ツール。
これらのツールはそれぞれ、グループの業務における適応力と革新力を強調する高度なレベルを反映しています。
進化が重要な理由
Black Basta がボットネット中心のモデルからソーシャル エンジニアリングを統合したモデルへと進化したことは、ランサムウェア グループの活動方法の変化を示しています。このハイブリッド アプローチにより、ランサムウェア グループはより多用途になり、防御が困難になります。マルウェアと人間主導の戦略を組み合わせることで、Black Basta は従来のサイバー セキュリティ対策では見逃される可能性のある脆弱性も含め、より広範囲の脆弱性を悪用できます。
この適応性により、Black Basta は現在のサイバーセキュリティ環境において最も根強いランサムウェアの脅威の 1 つとなっています。Black Basta の攻撃は、技術的な専門知識と心理的操作を組み合わせることで組織にとって手ごわい脅威を生み出すことができることを示しています。
リスクを軽減するための手順
ランサムウェア攻撃から完全に免れる組織はありませんが、積極的なサイバーセキュリティの姿勢を採用することで、Black Basta のようなグループの被害に遭うリスクを軽減できます。対策には次のものがあります。
- 従業員のトレーニング: ソーシャル エンジニアリングの戦術やフィッシング攻撃を認識するよう従業員を教育することが重要です。異常な IT 要求や迷惑な通信を認識することが、防御の第一線として役立ちます。
- アクセス制御の強化: 強力なパスワード ポリシーを実装し、MFA を有効にし、アクセス権限を定期的に確認することで、資格情報収集ツールの有効性を制限できます。
- ネットワーク監視: リモート アクセス ソフトウェアの使用や予期しないデータ転送などの異常なアクティビティを継続的に監視することで、潜在的な侵害を早期に検出できます。
- 定期的なバックアップ: 安全で最新のバックアップを維持することで、攻撃が発生した場合でも組織は迅速に回復できるようになります。
キーテイク
Black Basta は、ますます安全になるデジタル環境において、ランサムウェア グループがどのように進化し、効果を発揮しているかを示す説得力のある例です。高度なマルウェアと標的型ソーシャル エンジニアリングを組み合わせることで、彼らは洗練された多才な脅威アクターとして独自の地位を確立しました。組織にとっての課題は、警戒、教育、および堅牢なサイバー セキュリティ対策を通じて常に一歩先を行くことです。Black Basta のようなグループが採用する戦術を理解することは、彼らの攻撃から身を守るための重要なステップです。
