Black Basta ランサムウェア攻撃が世界中で 500 以上の組織を襲う

Black Basta ランサムウェア攻撃の世界的な影響は甚大で、500 を超える組織がこの脅威的な活動の被害に遭っています。2022 年 4 月から特定されているこのグループは、ランサムウェア アズ ア サービス (RaaS) モデル内で活動しており、そのモデルでは、関連組織がグループに代わってサイバー攻撃を実行し、北米、ヨーロッパ、オーストラリアの重要なインフラストラクチャを標的にしています。特に、 Black Basta関連組織は、ConnectWise ScreenConnect の重大な欠陥であるCVE-2024-1709などの脆弱性を悪用して、被害者のネットワークへの初期アクセスを取得しています。

侵入後は、SoftPerfect、PsExec、Mimikatz など、リモート アクセス、ネットワーク スキャン、データ流出のためのさまざまなツールが利用されます。また、権限昇格のためにZeroLogonやPrintNightmareなどの脆弱性を悪用したり、横方向の移動にリモート デスクトップ プロトコル (RDP) を利用したりすることも知られています。さらに、エンドポイント検出および対応 (EDR) ソリューションを無効にする Backstab ツールを展開することで、攻撃の高度化が進んでいます。

攻撃者は、復旧作業を妨害するために、侵害されたシステムを暗号化して身代金要求のメモを残す前にボリューム シャドウ コピーを削除します。これらの脅威に対応して、CISA、FBI、HHS、MS-ISAC などの政府機関は、Black Basta の戦術、技術、手順 (TTP) の詳細、および侵害の兆候 (IoC) と推奨される緩和策を記載した警告を発行しました。

医療機関は、その規模、技術への依存度、個人の健康情報へのアクセスの点で特に脆弱です。これを認識し、前述の機関は、すべての重要なインフラストラクチャ組織、特に医療部門の組織に対し、Black Basta や同様のランサムウェア攻撃による侵害のリスクを軽減するために推奨される緩和策を実施するよう強く求めています。

このような攻撃がもたらす困難にもかかわらず、被害者を支援する取り組みは行われてきました。2024 年 1 月、SRLabs は、Black Basta の被害者が身代金要求に屈することなくデータを回復できるように支援する無料の復号ツールをリリースしました。このような取り組みは、脅威の一部の被害者には効果がありましたが、多くの被害者は、他の同様の脅威に加えて、厄介なマルウェアの脅威をシステムから取り除くためにマルウェア対策リソースを利用する必要がありました。このような取り組みは、攻撃的なランサムウェアの脅威に効果的に対抗するために必要な協力的なアプローチを浮き彫りにしています。