ALL MENU

Technology
S2W's Technology
AI
Big Data
Security
Products
SAIP
QUAXAR
XARVIS
EYEZ
Services
AI Data Consulting
Penetration Testing
Incident Response
Request for Intelligence
Resources
Event
Webinar
SIS
Conference
About S2W
About S2W
History
News

QUICK LINKS

Resources
  • Research
  • 脅威分析概要レポート
ランサムウェア「Black Basta」に関するレポート
2025.03.07

✅ レポートタイトル:「Black Basta」に関する概要


✅ レポートの要約:


- ランサムウェア「Black Basta」は、2022年2月上旬から.encrypted拡張子を使用する「no_name_software」という名前のランサムウェアとして開発されました。
- その後、2022年4月の第2週に「Black Basta」の名前で最初の攻撃を行い、ドイツの風力発電所を運営する「Deutsche Windtechnik」を攻撃したことで注目を集め始めました。
- ランサムウェア「Black Basta」の被害を受けた国はアメリカが最も多く、主に建設・製造業をターゲットにしています。


📌 主な特徴


- 海外のマルウェア分析の専門チームである「MalwareHunterTeam」のツイートによると、被害者との交渉スタイルとリークサイトのデザインなどが「Conti」にかなり類似していると述べています。
- 「Black Basta」というユーザーが「XSS」、「Exploit.in」で活動中
- (2022年4月20日) 「Exploit.in:米加英豪とニュージーランドの企業のネットワークアクセスアカウントを購入する活動を確認
- SentinelOneの報告によると、「Black Basta」のランサムウェアオペレーターが「FIN7」に関連していると発表しました。
- Sophosによると、ランサムウェア「Black Basta」、「Hive」、「Royal」を流布するグループ間TTPsに類似性があると述べ、3つのグループ間の攻撃戦術に関する攻略本(playbook)を共有しているかアフェリエイトを共有していると推定しています。
- 3グループ全てが同じユーザー名とパスワードを使用してバックドアアカウントを作成し、システムを制御します。
- 3グループ全てが被害企業の名前で.7zファイルを生成し、最終的なペイロードをターゲットシステムに流布します。
- 3グループ全てが同じバッチスクリプトとファイルでコマンドを実行してターゲットシステムに感染させます。
- Mandiantによると、「Black Basta」のアフェリエイトは、ほとんどの活動クラスタである「UNC4393」と独自のTTPを示す「UNC3973」に分類されました。
- マイクロソフトによると、ランサムウェア「Black Basta」を流布する「Storm-0566」グループが「CVE-2024-37085」の脆弱性を利用した事例を公開
- Prodaftによると、25年2月11日に「Black Basta」がロシアの銀行をターゲットにしたという理由で、内部メンバーがチャットログを流出し、コアメンバー達は「Cactus」グループに移ったと言及しました。
- マルウェア「QBot」配布に使用される大規模スパムキャンペーンを運営している「Tramp(LARVA-18)」というユーザーが主導したことが明らかになりました。


📌直近の問題


- (2025年2月21日) 「BlackBasta」の内部チャットログが漏洩した事件が発生。Telegram「@ExploitWhisper」チャネルを介して2023年9月18日から2024年9月28日までの約1年間のランサムウェアグループ「Black Basta」のMatrixでのチャットログに関する内容が漏洩しました。
- ほとんどの会話がロシア語で、ロシア標準時間UTC+3(モスクワ時間)に合わせて活動するものと見て、「Black Basta」のメンバーは主にロシア人によって構成されていると推定されます。
- 「Black Basta」は韓国企業の海外支社を攻撃してデータベースを流出した履歴があり、対話内容で韓国企業のVPN、内部ネットワークアクセスのためのIP、資格証明などを言及した内容が確認されます。
- 攻撃対象企業の従業員に関するアドレス帳を共有し、IT部署の従業員を詐称するなどフィッシング攻撃や社会工学的な技術も積極的に活用しています。
- 「Black Basta」の統括管理者と推定されるメンバーは「@usernamegg」であり、Matrixメッセンジャーを通じて運営する7つのホームサーバーのうちmatrix.bestflowers247.onlineのメンバー数が最も多くメイン攻撃活動が行われています。
- (2024年9月24日) 統括管理者の「@usernamegg」がニックネームを「@usergg」に変更し、新たなコミュニケーションサービスを導入すると発表しました。当該グループが今後はMatrixではなく新たなプラットフォームに移り活動するものと推定されます。
- 漏洩したチャットログ内の合計176件の暗号資産ウォレットアドレスを識別しました。
- 確認された176件の暗号資産アドレスは、過去にランサムウェアグループで確認されたことのない新規アドレスであることが確認されました。これは「Black Basta」のメンバーが他ランサムウェアグループとの接点がないものと見られます。
- 統括管理者と推定される「@usernamegg」を中心に、複数の役割のユーザーに作業報酬が支給されていることが確認され、作業に必要な金額も「@usernamegg」が受け持っています。
- 「@usernamegg」を含む「Black Basta」メンバーは、Bitcoinに加えて、Monero、Ethereum、Tetherなど、さまざまな種類の暗号資産を使用することが確認されており、主に作業結果ごとに報酬を受け取る方法で報酬の支払いが行われます。
- ランサムウェアに感染させるために必要な任意の命令実行が可能な脆弱性を主に活用している模様です。
- PlaoAlto Networks製品の脆弱性、「CVE-2024-3400」、Fortinet製品の脆弱性、「CVE-2024-21762」など、ネットワーク機器やVPN機器に関連する脆弱性を注目している模様です。
- その他、業務に関連するAtlassian製品の「CVE-2023-22515」の脆弱性、2024年2月に公開されたOutlookで発生する「CVE-2024-21413」の脆弱性など、公開された日付とは関係なく悪用しており、製品に対して最新バージョンのパッチ適用を推奨します。
- 任意の命令で実行した後、追加の脆弱性を発見したり、より多くの情報を窃取するためのツールを活用している模様です。
- Nidhoggのように公開されたソフトウェアルートキットを活用してランサムウェアプロセスを隠すなどの攻撃方法も考慮した模様です。
- mimikatzなどを通じてパスワードを抽出し、EventLog Crasherを通じてフォレンジックを妨げるための追加対策も考慮した模様です。



✅ 脅威検出の推奨事項と対策方法:


- 具体的な分析及び対策方法は、下記リンクよりお問い合わせください。



🧑‍ レポート作成者:S2W 「TALON」(2025年2月24日基準)


👉 レポートに関するお問い合わせ: https://s2w.inc/ja/contact


*当該レポートは、S2Wのプラットフォーム「QUAXAR(クェーサー)」で全文が提供されています。詳細に関してはお問い合わせください。


ニュースハイライト
2025年2月のニュースまとめ
2025.02.28
前へ
脅威分析レポート
AIとLLMを活用した脅威事例研究#01:マルウェアの活用と進化
2025.03.13
次へ
一覧