Basta noir
Les méthodes opérationnelles de Black Basta mettent en évidence leur adaptabilité et leur volonté d'exploiter à la fois les vulnérabilités techniques et les facteurs humains pour atteindre leurs objectifs. La compréhension de ces tactiques peut aider les organisations à renforcer leurs défenses contre ces menaces sophistiquées.
L'origine de Black Basta
Black Basta est une variante de ransomware-as-a-service (RaaS) identifiée pour la première fois en avril 2022. Le groupe opère en chiffrant et en exfiltrant les données de ses victimes, et il a été actif en Amérique du Nord, en Europe et en Australie. En mai 2024, les affiliés de Black Basta avaient touché plus de 500 organisations dans le monde, y compris au moins 12 des 16 secteurs d'infrastructures critiques, avec un accent particulier sur le secteur des soins de santé et de la santé publique (HPH).
Certains chercheurs pensent que Black Basta pourrait être lié à d'autres groupes criminels tels que FIN7 et Conti, en raison de similitudes au niveau des tactiques, des techniques et des procédures (TTP).
Source : OCD
Cibles
Les objectifs de Blackbasta
Pays ciblés par Blackbasta
Les opérations de Black Basta couvrent plusieurs régions, avec des incidents importants signalés aux États-Unis, en Allemagne, au Royaume-Uni, au Canada et en Australie. Ces régions sont souvent ciblées en raison de leurs industries de grande valeur et de leurs infrastructures essentielles.
Industries ciblées par Blackbasta
Black Basta a ciblé un large éventail d'industries, notamment le secteur des soins de santé et de la santé publique (HPH) en raison de sa nature critique et de sa dépendance à l'égard de la technologie. Les autres secteurs touchés sont la finance, l'industrie manufacturière et les technologies de l'information.
Industries ciblées par Blackbasta
Black Basta a ciblé un large éventail d'industries, notamment le secteur des soins de santé et de la santé publique (HPH) en raison de sa nature critique et de sa dépendance à l'égard de la technologie. Les autres secteurs touchés sont la finance, l'industrie manufacturière et les technologies de l'information.
Les victimes de Blackbasta
Bien que les noms des victimes récentes ne soient pas toujours rendus publics pour des raisons de confidentialité et de sécurité, nous comptons plus de 439 victimes, dont de grandes entreprises et institutions dans les secteurs mentionnés ci-dessus. Des rapports récents ont fait état d'attaques contre des systèmes de santé, de grandes entreprises manufacturières et des institutions financières.
Méthode d'attaque
Méthode d'attaque de Blackbasta
Les affiliés de Black Basta utilisent généralement des courriels de spearphishing et exploitent des vulnérabilités connues telles que CVE-2024-1709. Ils sont également connus pour abuser d'informations d'identification valides afin d'obtenir un accès initial. malware.
Des outils tels que Mimikatz sont utilisés pour récupérer des informations d'identification, tandis que des vulnérabilités telles que ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) et PrintNightmare (CVE-2021-34527) sont exploitées pour élever les privilèges.
Le groupe utilise des tactiques de masquage en utilisant des noms de fichiers inoffensifs, tels que Intel ou Dell. Ils déploient également des outils tels que Backstab pour désactiver les systèmes de détection et de réponse (EDR) de endpoint et utilisent PowerShell pour désactiver les produits antivirus.
Les affiliés de Black Basta utilisent des outils de récupération d'informations d'identification comme Mimikatz et exploitent les vulnérabilités connues pour obtenir un accès administratif et escalader les privilèges au sein du réseau.
Les outils d'analyse de réseau tels que SoftPerfect Network Scanner sont utilisés pour cartographier le réseau et identifier les systèmes clés et les entrepôts de données.
Le groupe utilise des outils tels que BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect et Cobalt Strike pour se déplacer latéralement à travers les réseaux.
Avant le chiffrement, les données sont collectées et préparées pour l'exfiltration. Il peut s'agir de compresser des fichiers ou d'organiser les données en vue de leur transfert.
Avant le chiffrement, les données sont collectées et préparées pour l'exfiltration. Il peut s'agir de compresser des fichiers ou d'organiser les données en vue de leur transfert.
Des outils tels que RClone sont utilisés pour exfiltrer des données vers des serveurs contrôlés par des acteurs. Ces données sont souvent utilisées pour faire pression sur les victimes afin qu'elles paient la rançon.
Le ransomware chiffre les fichiers à l'aide d'un algorithme ChaCha20 avec une clé publique RSA-4096, en ajoutant une extension .basta ou aléatoire aux noms de fichiers. Les notes de rançon laissées sur les systèmes compromis demandent aux victimes de contacter le groupe via un site Tor.
Accès Initial
Les affiliés de Black Basta utilisent généralement des courriels de spearphishing et exploitent des vulnérabilités connues telles que CVE-2024-1709. Ils sont également connus pour abuser d'informations d'identification valides afin d'obtenir un accès initial. malware.
Élévation de privilèges
Des outils tels que Mimikatz sont utilisés pour récupérer des informations d'identification, tandis que des vulnérabilités telles que ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) et PrintNightmare (CVE-2021-34527) sont exploitées pour élever les privilèges.
Défense Evasion
Le groupe utilise des tactiques de masquage en utilisant des noms de fichiers inoffensifs, tels que Intel ou Dell. Ils déploient également des outils tels que Backstab pour désactiver les systèmes de détection et de réponse (EDR) de endpoint et utilisent PowerShell pour désactiver les produits antivirus.
Accès aux identifiants
Les affiliés de Black Basta utilisent des outils de récupération d'informations d'identification comme Mimikatz et exploitent les vulnérabilités connues pour obtenir un accès administratif et escalader les privilèges au sein du réseau.
Découverte
Les outils d'analyse de réseau tels que SoftPerfect Network Scanner sont utilisés pour cartographier le réseau et identifier les systèmes clés et les entrepôts de données.
Mouvement latéral
Le groupe utilise des outils tels que BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect et Cobalt Strike pour se déplacer latéralement à travers les réseaux.
Collection
Avant le chiffrement, les données sont collectées et préparées pour l'exfiltration. Il peut s'agir de compresser des fichiers ou d'organiser les données en vue de leur transfert.
Exécution
Avant le chiffrement, les données sont collectées et préparées pour l'exfiltration. Il peut s'agir de compresser des fichiers ou d'organiser les données en vue de leur transfert.
Exfiltration
Des outils tels que RClone sont utilisés pour exfiltrer des données vers des serveurs contrôlés par des acteurs. Ces données sont souvent utilisées pour faire pression sur les victimes afin qu'elles paient la rançon.
Impact
Le ransomware chiffre les fichiers à l'aide d'un algorithme ChaCha20 avec une clé publique RSA-4096, en ajoutant une extension .basta ou aléatoire aux noms de fichiers. Les notes de rançon laissées sur les systèmes compromis demandent aux victimes de contacter le groupe via un site Tor.
MITRE ATT&CK Mapping
TTP utilisées par Black Basta
Black Basta utilise plusieurs TTP alignées sur le cadre MITRE ATT&CK . Parmi les principaux TTP, on peut citer
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter le Basta noir avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce que le ransomware Blackbasta ?
Blackbasta est un groupe de ransomware sophistiqué apparu en avril 2022. Il utilise une double tactique d'extorsion, en chiffrant les données des victimes et en menaçant de divulguer des informations sensibles si la rançon n'est pas payée.
Comment Blackbasta obtient-il généralement l'accès initial à un réseau ?
Blackbasta obtient souvent un accès initial en envoyant des courriels à l'adresse phishing contenant des pièces jointes ou des liens malveillants, en exploitant les vulnérabilités des applications publiques et en utilisant des publicités malveillantes ou des téléchargements de type "drive-by".
Quelles sont les industries les plus fréquemment ciblées par Blackbasta ?
Blackbasta s'adresse à un large éventail de secteurs, notamment les soins de santé, l'industrie manufacturière, la finance, le droit, l'éducation, le gouvernement et les technologies de l'information.
Quels sont les pays les plus touchés par les attaques de Blackbasta ?
Blackbasta cible principalement les organisations des États-Unis, du Canada, du Royaume-Uni, de l'Allemagne, de la France et de l'Australie, bien qu'elle ait une portée mondiale.
Quelles sont les tactiques, techniques et procédures (TTP) connues utilisées par Blackbasta ?
Blackbasta utilise diverses techniques de transfert de technologie telles que phishing (T1566), un interpréteur de commandes et de scripts (T1059), l'extraction d'informations d'identification (T1003), la désactivation d'outils de sécurité (T1562) et le chiffrement des données pour en faciliter l'accès (T1486).
Comment Blackbasta escalade-t-il les privilèges au sein d'un réseau compromis ?
Blackbasta escalade les privilèges en exploitant des vulnérabilités logicielles non corrigées et en utilisant des outils tels que Mimikatz pour extraire des informations d'identification de la mémoire.
Quelles sont les méthodes utilisées par Blackbasta pour échapper à la détection ?
Blackbasta utilise des techniques d'obscurcissement, désactive les outils de sécurité, emploie des tactiques de survie sur le terrain (LotL) et utilise des logiciels et des outils légitimes pour échapper à la détection.
Comment Blackbasta se déplace-t-il latéralement au sein d'un réseau ?
Blackbasta utilise le protocole de bureau à distance (RDP), l'instrumentation de gestion Windows (WMI) et les services à distance pour se déplacer latéralement au sein d'un réseau.
Quelles sont les étapes typiques d'une attaque par ransomware Blackbasta ?
Les étapes comprennent l'accès initial, l'escalade des privilèges, l'évasion des défenses, l'accès aux informations d'identification, la découverte, le mouvement latéral, la collecte, l'exécution, l'exfiltration et l'impact.
Quelles mesures préventives les organisations peuvent-elles prendre pour se protéger contre le ransomware Blackbasta ?
Les entreprises peuvent se protéger contre Blackbasta en mettant en place un filtrage efficace des courriels, en corrigeant rapidement les vulnérabilités, en utilisant l'authentification à plusieurs facteurs, en organisant régulièrement des formations à la sécurité pour les employés, en surveillant les activités inhabituelles, en conservant des sauvegardes à jour et en déployant des systèmes de détection et de réponse étendues (XDR) pour identifier les menaces et y répondre rapidement.