Black Basta
Black BastaLes méthodes opérationnelles des pirates mettent en évidence leur adaptabilité et leur volonté d'exploiter à la fois les vulnérabilités techniques et les facteurs humains pour atteindre leurs objectifs. Comprendre ces tactiques peut aider les organisations à renforcer leurs défenses contre ces menaces sophistiquées.
L'origine des Black Basta
Black Basta est un groupe de ransomware à motivation financière actif de début 2022 à janvier 2025, connu pour ses opérations de double extorsion à fort impact ciblant des organisations en Amérique du Nord, en Europe et en Asie. Le groupe compromet les réseaux d'entreprise pour déployer des charges utiles de ransomware, exfiltre des données sensibles et fait pression sur les victimes pour qu'elles paient des rançons de plusieurs millions de dollars sous la menace de fuites publiques.
Black Basta a souvent recours à l'effet de levier :
- Accès initial par le biais d'informations d'identification volées, de malspam ou d'exposition à un bureau à distance
- Cobalt StrikeBrute Ratel, et chargeurs personnalisés pour les mouvements latéraux
- Outils tels que Mimikatz, RClone et PSExec pour l'extraction d'informations d'identification et l'exfiltration de données
- Publication de données exfiltrées sur leur site de fuite à des fins d'extorsion
Le groupe a démontré des liens avec la gestion d'infrastructures avancées, y compris les couches de proxy SOCKS, l'infrastructure d'phishing et les outils modulaires. Il entretient des communications internes en langue russe et coordonne ses activités par l'intermédiaire de Matrix, en collaborant souvent avec des affiliés ou des courtiers.
Black Basta a été associé à des attaques contre des infrastructures critiques et des secteurs de la santé, de la justice et de l'industrie. Il est considéré comme l'une des opérations de ransomware les plus actives et les plus structurées de 2024.
Pays ciblés par Blackbasta
Black BastaLes activités de la société s'étendent sur plusieurs régions, des incidents importants ayant été signalés aux États-Unis, en Allemagne, au Royaume-Uni, au Canada et en Australie. Ces régions sont souvent ciblées en raison de leurs industries de grande valeur et de leurs infrastructures essentielles.
Industries ciblées par Blackbasta
Black Basta a ciblé un large éventail d'industries, notamment le secteur des soins de santé et de la santé publique (HPH) en raison de sa nature critique et de sa dépendance à l'égard de la technologie. Les autres secteurs touchés sont la finance, l'industrie manufacturière et les technologies de l'information.
Les victimes de Blackbasta
Bien que les noms des victimes récentes ne soient pas toujours rendus publics pour des raisons de confidentialité et de sécurité, nous comptons plus de 439 victimes, dont de grandes entreprises et institutions dans les secteurs mentionnés ci-dessus. Des rapports récents ont fait état d'attaques contre des systèmes de santé, de grandes entreprises manufacturières et des institutions financières.
Méthode d'attaque de Blackbasta
Black Basta Les affiliés utilisent généralement des courriels de spearphishing et exploitent des vulnérabilités connues telles que CVE-2024-1709. Ils sont également connus pour abuser d'informations d'identification valides afin d'obtenir un accès initial. malware.
Des outils tels que Mimikatz sont utilisés pour récupérer des informations d'identification, tandis que des vulnérabilités telles que ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) et PrintNightmare (CVE-2021-34527) sont exploitées pour élever les privilèges.
Le groupe utilise des tactiques de masquage en utilisant des noms de fichiers inoffensifs, tels que Intel ou Dell. Ils déploient également des outils tels que Backstab pour désactiver les systèmes de détection et de réponse (EDR) de endpoint et utilisent PowerShell pour désactiver les produits antivirus.
Black Basta Les affiliés utilisent des outils de récupération d'informations d'identification comme Mimikatz et exploitent des vulnérabilités connues pour obtenir un accès administratif et une escalade des privilèges au sein du réseau.
Les outils d'analyse de réseau tels que SoftPerfect Network Scanner sont utilisés pour cartographier le réseau et identifier les systèmes clés et les entrepôts de données.
Le groupe utilise des outils tels que BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect et Cobalt Strike pour se déplacer latéralement à travers les réseaux.
Avant le chiffrement, les données sont collectées et préparées pour l'exfiltration. Il peut s'agir de compresser des fichiers ou d'organiser les données en vue de leur transfert.
Avant le chiffrement, les données sont collectées et préparées pour l'exfiltration. Il peut s'agir de compresser des fichiers ou d'organiser les données en vue de leur transfert.
Des outils tels que RClone sont utilisés pour exfiltrer des données vers des serveurs contrôlés par des acteurs. Ces données sont souvent utilisées pour faire pression sur les victimes afin qu'elles paient la rançon.
Le ransomware chiffre les fichiers à l'aide d'un algorithme ChaCha20 avec une clé publique RSA-4096, en ajoutant une extension .basta ou aléatoire aux noms de fichiers. Les notes de rançon laissées sur les systèmes compromis demandent aux victimes de contacter le groupe via un site Tor.
Black Basta Les affiliés utilisent généralement des courriels de spearphishing et exploitent des vulnérabilités connues telles que CVE-2024-1709. Ils sont également connus pour abuser d'informations d'identification valides afin d'obtenir un accès initial. malware.
Des outils tels que Mimikatz sont utilisés pour récupérer des informations d'identification, tandis que des vulnérabilités telles que ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) et PrintNightmare (CVE-2021-34527) sont exploitées pour élever les privilèges.
Le groupe utilise des tactiques de masquage en utilisant des noms de fichiers inoffensifs, tels que Intel ou Dell. Ils déploient également des outils tels que Backstab pour désactiver les systèmes de détection et de réponse (EDR) de endpoint et utilisent PowerShell pour désactiver les produits antivirus.
Black Basta Les affiliés utilisent des outils de récupération d'informations d'identification comme Mimikatz et exploitent des vulnérabilités connues pour obtenir un accès administratif et une escalade des privilèges au sein du réseau.
Les outils d'analyse de réseau tels que SoftPerfect Network Scanner sont utilisés pour cartographier le réseau et identifier les systèmes clés et les entrepôts de données.
Le groupe utilise des outils tels que BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect et Cobalt Strike pour se déplacer latéralement à travers les réseaux.
Avant le chiffrement, les données sont collectées et préparées pour l'exfiltration. Il peut s'agir de compresser des fichiers ou d'organiser les données en vue de leur transfert.
Avant le chiffrement, les données sont collectées et préparées pour l'exfiltration. Il peut s'agir de compresser des fichiers ou d'organiser les données en vue de leur transfert.
Des outils tels que RClone sont utilisés pour exfiltrer des données vers des serveurs contrôlés par des acteurs. Ces données sont souvent utilisées pour faire pression sur les victimes afin qu'elles paient la rançon.
Le ransomware chiffre les fichiers à l'aide d'un algorithme ChaCha20 avec une clé publique RSA-4096, en ajoutant une extension .basta ou aléatoire aux noms de fichiers. Les notes de rançon laissées sur les systèmes compromis demandent aux victimes de contacter le groupe via un site Tor.
Les TTP utilisées par les Black Basta
Comment détecter Black Basta avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce que le ransomware Blackbasta ?
Blackbasta est un groupe de ransomware sophistiqué apparu en avril 2022. Il utilise une double tactique d'extorsion, en chiffrant les données des victimes et en menaçant de divulguer des informations sensibles si la rançon n'est pas payée.
Comment Blackbasta obtient-il généralement l'accès initial à un réseau ?
Blackbasta obtient souvent un accès initial en envoyant des courriels à l'adresse phishing contenant des pièces jointes ou des liens malveillants, en exploitant les vulnérabilités des applications publiques et en utilisant des publicités malveillantes ou des téléchargements de type "drive-by".
Quelles sont les industries les plus fréquemment ciblées par Blackbasta ?
Blackbasta s'adresse à un large éventail de secteurs, notamment les soins de santé, l'industrie manufacturière, la finance, le droit, l'éducation, le gouvernement et les technologies de l'information.
Quels sont les pays les plus touchés par les attaques de Blackbasta ?
Blackbasta cible principalement les organisations des États-Unis, du Canada, du Royaume-Uni, de l'Allemagne, de la France et de l'Australie, bien qu'elle ait une portée mondiale.
Quelles sont les tactiques, techniques et procédures (TTP) connues utilisées par Blackbasta ?
Blackbasta utilise diverses techniques de transfert de technologie telles que phishing (T1566), un interpréteur de commandes et de scripts (T1059), l'extraction d'informations d'identification (T1003), la désactivation d'outils de sécurité (T1562) et le chiffrement des données pour en faciliter l'accès (T1486).
Comment Blackbasta escalade-t-il les privilèges au sein d'un réseau compromis ?
Blackbasta escalade les privilèges en exploitant des vulnérabilités logicielles non corrigées et en utilisant des outils tels que Mimikatz pour extraire des informations d'identification de la mémoire.
Quelles sont les méthodes utilisées par Blackbasta pour échapper à la détection ?
Blackbasta utilise des techniques d'obscurcissement, désactive les outils de sécurité, emploie des tactiques de survie sur le terrain (LotL) et utilise des logiciels et des outils légitimes pour échapper à la détection.
Comment Blackbasta se déplace-t-il latéralement au sein d'un réseau ?
Blackbasta utilise le protocole de bureau à distance (RDP), l'instrumentation de gestion Windows (WMI) et les services à distance pour se déplacer latéralement au sein d'un réseau.
Quelles sont les étapes typiques d'une attaque par ransomware Blackbasta ?
Les étapes comprennent l'accès initial, l'escalade des privilèges, l'évasion des défenses, l'accès aux informations d'identification, la découverte, le mouvement latéral, la collecte, l'exécution, l'exfiltration et l'impact.
Quelles mesures préventives les organisations peuvent-elles prendre pour se protéger contre le ransomware Blackbasta ?
Les entreprises peuvent se protéger contre Blackbasta en mettant en place un filtrage efficace des courriels, en corrigeant rapidement les vulnérabilités, en utilisant l'authentification à plusieurs facteurs, en organisant régulièrement des formations à la sécurité pour les employés, en surveillant les activités inhabituelles, en conservant des sauvegardes à jour et en déployant des systèmes de détection et de réponse étendues (XDR) pour identifier les menaces et y répondre rapidement.