Vectra AI est nommé leader dans le Magic Quadrant 2025 de Gartner pour détection et réponse aux incidents (NDR). >
NOUVEAU

Vectra AI est nommée Leader dans le Magic Quadrant 2025 de Gartner pour la détection et réponse aux incidents (NDR). Télécharger le rapport. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Groupe de Ransomware

Black Basta

  1. Status:
    Inactive
  1. Status:
    Inactive

Black Basta’s operational methods highlighted their adaptability and willingness to exploit both technical vulnerabilities and human factors to achieve their goals. Understanding these tactics can help organizations bolster their defenses against such sophisticated threats.

Détecter les TTP de Black Basta
Is Your Organization Safe from Cyber Attacks?
Contexte et objectifs
TTPs
Cartographie MITRE
Détection
Foire aux questions
Regarder notre Threat Briefing
CONTEXTE
PAYS
INDUSTRIES
VICTIMES

L'origine des Black Basta

Black Basta was a financially motivated ransomware group active from early 2022 until January 2025, known for high-impact double extortion operations targeting organizations across North America, Europe, and Asia. The group compromised corporate networks to deploy ransomware payloads, exfiltrated sensitive data, and pressured victims into paying multimillion-dollar ransoms under threat of public leaks.

Black Basta often leveraged:

  • Accès initial par le biais d'informations d'identification volées, de malspam ou d'exposition à un bureau à distance
  • Cobalt StrikeBrute Ratel, et chargeurs personnalisés pour les mouvements latéraux
  • Outils tels que Mimikatz, RClone et PSExec pour l'extraction d'informations d'identification et l'exfiltration de données
  • Publication de données exfiltrées sur leur site de fuite à des fins d'extorsion

The group has exhibited ties to advanced infrastructure management, including SOCKS proxy layers, phishing infrastructure, and modular tooling. It maintained Russian-language internal communications and coordinates through Matrix channels, often collaborating with affiliates or brokers.

Black Basta a été associé à des attaques contre des infrastructures critiques et des secteurs de la santé, de la justice et de l'industrie. Il est considéré comme l'une des opérations de ransomware les plus actives et les plus structurées de 2024.

Source : OCD

Pays ciblés par Blackbasta

Black Basta's operations spun multiple regions, with significant incidents reported in the United States, Germany, the United Kingdom, Canada, and Australia. These regions are often targeted due to their high-value industries and critical infrastructure.

Source : ransomware.live

Industries ciblées par Blackbasta

Black Basta a ciblé un large éventail d'industries, notamment le secteur des soins de santé et de la santé publique (HPH) en raison de sa nature critique et de sa dépendance à l'égard de la technologie. Les autres secteurs touchés sont la finance, l'industrie manufacturière et les technologies de l'information.

Source du graphique : SocRadar

Healthcare

Federal

Higher Education

Financial Services and Banking

Manufacturing

Les victimes de Blackbasta

More than 521 victims were targeted by Black Basta between April 2022 and January 2025.

Source : ransomware.live

Méthode d'attaque

Méthode d'attaque de Blackbasta

Accès Initial
Élévation de privilèges
Persistance et évasion de la défense
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.

Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.

Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.

The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.

Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.

Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.

The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.

Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.

Tools such as RClone were used to exfiltrate data to actor-controlled servers.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.

The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.

Une figure ombrageuse jetant un large filet sur un paysage numérique rempli de divers appareils tels que des ordinateurs, des smartphones et des tablettes. Le filet symbolise les tentatives de l'attaquant de trouver des vulnérabilités ou d'utiliser des techniques phishing pour obtenir un accès non autorisé.
Accès Initial

Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.

Une échelle numérique s'étendant vers le haut à partir d'une icône d'utilisateur de base vers une couronne symbolisant les privilèges administratifs. Cela représente les efforts de l'attaquant pour obtenir un accès de plus haut niveau au système.
Élévation de privilèges

Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.

Un caméléon qui se fond dans un arrière-plan numérique, avec des zéros et des uns qui circulent autour de lui. Cela représente la capacité de l'attaquant à éviter d'être détecté par les mesures de sécurité, en changeant de tactique pour se fondre dans le trafic normal du réseau.
Défense Evasion

The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.

Un voleur muni d'une trousse de crochetage travaille sur un trou de serrure géant en forme de formulaire de connexion, représentant les efforts de l'attaquant pour voler les informations d'identification de l'utilisateur afin d'obtenir un accès non autorisé.
Accès aux identifiants

Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.

Une loupe se déplaçant sur une carte numérique d'un réseau, mettant en évidence les fichiers, les dossiers et les connexions réseau. Cette image représente la phase où les attaquants explorent l'environnement pour en comprendre la structure et savoir où se trouvent les données importantes.
Découverte

Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.

Une série de nœuds interconnectés avec une silhouette se déplaçant furtivement entre eux. Cela illustre les mouvements de l'attaquant au sein du réseau, cherchant à prendre le contrôle d'autres systèmes ou à propager malware.
Mouvement latéral

The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.

Un grand aspirateur qui aspire des fichiers, des icônes de données et des dossiers dans un sac tenu par une personne de l'ombre. Cette image symbolise le processus de collecte de données précieuses sur le réseau cible.
Collection

Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.

Une fenêtre d'invite de commande ouverte devant un arrière-plan numérique, avec un code malveillant en cours de saisie. Il s'agit de la phase au cours de laquelle les attaquants exécutent leur charge utile malveillante dans le système compromis.
Exécution
Série de fichiers acheminés par un canal secret depuis un ordinateur vers un site cloud marqué d'une tête de mort, symbolisant le transfert non autorisé de données vers un lieu contrôlé par l'attaquant.
Exfiltration

Tools such as RClone were used to exfiltrate data to actor-controlled servers.

Un écran fissuré avec derrière lui un paysage urbain numérique en plein chaos, symbolisant l'impact destructeur de la cyberattaque, tel que l'interruption de service, la destruction de données ou la perte financière.
Impact

The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.

MITRE ATT&CK Mapping

Les TTP utilisées par les Black Basta

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Détections de la plate-forme

How to Detect Threat Actors with Vectra AI

Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.

AWS Ransomware S3 Activity

Brute-Force

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

RPC Targeted Recon

Voir plus de détections
Évaluez votre exposition aux attaques

Is Your Organization Safe from Cyber Attacks?

Évaluez votre exposition aux attaques

Foire aux questions

Qu'est-ce que le ransomware Blackbasta ?

Comment Blackbasta obtient-il généralement l'accès initial à un réseau ?

Quelles sont les industries les plus fréquemment ciblées par Blackbasta ?

Quels sont les pays les plus touchés par les attaques de Blackbasta ?

Quelles sont les tactiques, techniques et procédures (TTP) connues utilisées par Blackbasta ?

Comment Blackbasta escalade-t-il les privilèges au sein d'un réseau compromis ?

Quelles sont les méthodes utilisées par Blackbasta pour échapper à la détection ?

Comment Blackbasta se déplace-t-il latéralement au sein d'un réseau ?

Quelles sont les étapes typiques d'une attaque par ransomware Blackbasta ?

Quelles mesures préventives les organisations peuvent-elles prendre pour se protéger contre le ransomware Blackbasta ?