Black Basta
Les méthodes opérationnelles Black Bastaont mis en évidence leur capacité d'adaptation et leur volonté d'exploiter à la fois les vulnérabilités techniques et les facteurs humains pour atteindre leurs objectifs. Comprendre ces tactiques peut aider les organisations à renforcer leurs défenses contre ces menaces sophistiquées.
L'origine des Black Basta
Black Basta était un groupe de ransomware motivé par l'appât du gain, actif de début 2022 à janvier 2025, connu pour ses opérations de double extorsion à fort impact visant des organisations en Amérique du Nord, en Europe et en Asie. Le groupe compromettrait les réseaux d'entreprises pour déployer des charges utiles de ransomware, exfiltrerait des données sensibles et ferait pression sur les victimes pour qu'elles paient des rançons de plusieurs millions de dollars sous la menace de fuites publiques.
Black Basta utilisé :
- Accès initial par le biais d'informations d'identification volées, de malspam ou d'exposition à un bureau à distance
- Cobalt StrikeBrute Ratel, et chargeurs personnalisés pour les mouvements latéraux
- Outils tels que Mimikatz, RClone et PSExec pour l'extraction d'informations d'identification et l'exfiltration de données
- Publication de données exfiltrées sur leur site de fuite à des fins d'extorsion
Le groupe a démontré ses liens avec des infrastructures de gestion avancées, notamment des couches proxy SOCKS, phishing et des outils modulaires. Il a maintenu des communications internes en russe et coordonne ses activités via les canaux Matrix, collaborant souvent avec des affiliés ou des courtiers.
Black Basta a été associé à des attaques contre des infrastructures critiques et des secteurs de la santé, de la justice et de l'industrie. Il est considéré comme l'une des opérations de ransomware les plus actives et les plus structurées de 2024.
Pays ciblés par Blackbasta
Les opérations Black Basta ont touché plusieurs régions, avec des incidents importants signalés aux États-Unis, en Allemagne, au Royaume-Uni, au Canada et en Australie. Ces régions sont souvent ciblées en raison de leurs industries à forte valeur ajoutée et de leurs infrastructures critiques.
Industries ciblées par Blackbasta
Black Basta a ciblé un large éventail d'industries, notamment le secteur des soins de santé et de la santé publique (HPH) en raison de sa nature critique et de sa dépendance à l'égard de la technologie. Les autres secteurs touchés sont la finance, l'industrie manufacturière et les technologies de l'information.
Les victimes de Blackbasta
Plus de 521 victimes ont été ciblées par Black Basta avril 2022 et janvier 2025.
Méthode d'attaque de Blackbasta
Black Basta utilisaient généralement des e-mails de spearphishing et exploitaient des vulnérabilités connues telles que CVE-2024-1709. Ils sont également connus pour avoir abusé d'identifiants valides afin d'obtenir un accès initial.
Des outils tels que Mimikatz ont été utilisés pour récupérer des identifiants, tandis que des vulnérabilités telles que ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) et PrintNightmare (CVE-2021-34527) ont été exploitées pour élever les privilèges.
Le groupe a utilisé des tactiques de dissimulation en employant des noms de fichiers anodins, tels que Intel ou Dell. Il a également déployé des outils tels que Backstab pour désactiver les systèmes endpoint et de réponse endpoint (EDR) et utilisé PowerShell pour désactiver les produits antivirus.
Black Basta ont utilisé des outils de récupération d'identifiants tels que Mimikatz et ont exploité des vulnérabilités connues pour obtenir un accès administratif et élargir leurs privilèges au sein du réseau.
Des outils d'analyse réseau tels que SoftPerfect Network Scanner ont été utilisés pour cartographier le réseau et identifier les systèmes et les bases de données clés.
Le groupe a utilisé des outils tels que BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect et Cobalt Strike se déplacer latéralement à travers les réseaux.
Avant le chiffrement, les données ont été collectées et préparées pour être exfiltrées. Cela impliquait de compresser les fichiers ou de mettre en place les données en vue de leur transfert.
Des outils tels que RClone ont été utilisés pour exfiltrer des données vers des serveurs contrôlés par les acteurs.
Le ransomware a chiffré les fichiers à l'aide d'un algorithme ChaCha20 avec une clé publique RSA-4096, ajoutant une extension .basta ou aléatoire aux noms de fichiers. Les notes de rançon laissées sur les systèmes compromis demandaient aux victimes de contacter le groupe via un site Tor.
Black Basta utilisaient généralement des e-mails de spearphishing et exploitaient des vulnérabilités connues telles que CVE-2024-1709. Ils sont également connus pour avoir abusé d'identifiants valides afin d'obtenir un accès initial.
Des outils tels que Mimikatz ont été utilisés pour récupérer des identifiants, tandis que des vulnérabilités telles que ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) et PrintNightmare (CVE-2021-34527) ont été exploitées pour élever les privilèges.
Le groupe a utilisé des tactiques de dissimulation en employant des noms de fichiers anodins, tels que Intel ou Dell. Il a également déployé des outils tels que Backstab pour désactiver les systèmes endpoint et de réponse endpoint (EDR) et utilisé PowerShell pour désactiver les produits antivirus.
Black Basta ont utilisé des outils de récupération d'identifiants tels que Mimikatz et ont exploité des vulnérabilités connues pour obtenir un accès administratif et élargir leurs privilèges au sein du réseau.
Des outils d'analyse réseau tels que SoftPerfect Network Scanner ont été utilisés pour cartographier le réseau et identifier les systèmes et les bases de données clés.
Le groupe a utilisé des outils tels que BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect et Cobalt Strike se déplacer latéralement à travers les réseaux.
Avant le chiffrement, les données ont été collectées et préparées pour être exfiltrées. Cela impliquait de compresser les fichiers ou de mettre en place les données en vue de leur transfert.
Des outils tels que RClone ont été utilisés pour exfiltrer des données vers des serveurs contrôlés par les acteurs.
Le ransomware a chiffré les fichiers à l'aide d'un algorithme ChaCha20 avec une clé publique RSA-4096, ajoutant une extension .basta ou aléatoire aux noms de fichiers. Les notes de rançon laissées sur les systèmes compromis demandaient aux victimes de contacter le groupe via un site Tor.
Les TTP utilisées par les Black Basta
Comment détecter cybercriminels Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce que le ransomware Blackbasta ?
Blackbasta est un groupe de ransomware sophistiqué apparu en avril 2022. Il utilise une double tactique d'extorsion, en chiffrant les données des victimes et en menaçant de divulguer des informations sensibles si la rançon n'est pas payée.
Comment Blackbasta obtient-il généralement l'accès initial à un réseau ?
Blackbasta obtient souvent un accès initial en envoyant des courriels à l'adresse phishing contenant des pièces jointes ou des liens malveillants, en exploitant les vulnérabilités des applications publiques et en utilisant des publicités malveillantes ou des téléchargements de type "drive-by".
Quelles sont les industries les plus fréquemment ciblées par Blackbasta ?
Blackbasta s'adresse à un large éventail de secteurs, notamment les soins de santé, l'industrie manufacturière, la finance, le droit, l'éducation, le gouvernement et les technologies de l'information.
Quels sont les pays les plus touchés par les attaques de Blackbasta ?
Blackbasta cible principalement les organisations des États-Unis, du Canada, du Royaume-Uni, de l'Allemagne, de la France et de l'Australie, bien qu'elle ait une portée mondiale.
Quelles sont les tactiques, techniques et procédures (TTP) connues utilisées par Blackbasta ?
Blackbasta utilise diverses techniques de transfert de technologie telles que phishing (T1566), un interpréteur de commandes et de scripts (T1059), l'extraction d'informations d'identification (T1003), la désactivation d'outils de sécurité (T1562) et le chiffrement des données pour en faciliter l'accès (T1486).
Comment Blackbasta escalade-t-il les privilèges au sein d'un réseau compromis ?
Blackbasta escalade les privilèges en exploitant des vulnérabilités logicielles non corrigées et en utilisant des outils tels que Mimikatz pour extraire des informations d'identification de la mémoire.
Quelles sont les méthodes utilisées par Blackbasta pour échapper à la détection ?
Blackbasta utilise des techniques d'obscurcissement, désactive les outils de sécurité, emploie des tactiques de survie sur le terrain (LotL) et utilise des logiciels et des outils légitimes pour échapper à la détection.
Comment Blackbasta se déplace-t-il latéralement au sein d'un réseau ?
Blackbasta utilise le protocole de bureau à distance (RDP), l'instrumentation de gestion Windows (WMI) et les services à distance pour se déplacer latéralement au sein d'un réseau.
Quelles sont les étapes typiques d'une attaque par ransomware Blackbasta ?
Les étapes comprennent l'accès initial, l'escalade des privilèges, l'évasion des défenses, l'accès aux informations d'identification, la découverte, le mouvement latéral, la collecte, l'exécution, l'exfiltration et l'impact.
Quelles mesures préventives les organisations peuvent-elles prendre pour se protéger contre le ransomware Blackbasta ?
Les entreprises peuvent se protéger contre Blackbasta en mettant en place un filtrage efficace des courriels, en corrigeant rapidement les vulnérabilités, en utilisant l'authentification à plusieurs facteurs, en organisant régulièrement des formations à la sécurité pour les employés, en surveillant les activités inhabituelles, en conservant des sauvegardes à jour et en déployant des systèmes de détection et de réponse étendues (XDR) pour identifier les menaces et y répondre rapidement.