Black Basta
Black Basta'nin operasyonel yöntemleri, hedeflerine ulaşmak için hem teknik açıklardan hem de insan faktörlerinden yararlanma konusundaki uyarlanabilirliklerini ve istekliliklerini vurgulamaktadır. Bu taktiklerin anlaşılması, kuruluşların bu tür sofistike tehditlere karşı savunmalarını güçlendirmelerine yardımcı olabilir.
Kökeni Black Basta
Black Basta 2022'nin başlarından Ocak 2025'e kadar aktif olan ve Kuzey Amerika, Avrupa ve Asya'daki kuruluşları hedef alan yüksek etkili çifte gasp operasyonlarıyla bilinen finansal motivasyonlu bir fidye yazılımı grubuydu. Grup, fidye yazılımı yüklerini dağıtmak için kurumsal ağları tehlikeye atıyor, hassas verileri dışarı sızdırıyor ve kamuya sızma tehdidi altında kurbanlara milyonlarca dolarlık fidyeler ödemeleri için baskı yapıyor.
Black Basta sık sık kaldıraç kullanır:
- Çalınan kimlik bilgileri, malspam veya uzak masaüstüne maruz kalma yoluyla ilk erişim
- Cobalt Strike, Brute Ratel ve yanal hareket için özel yükleyiciler
- Kimlik bilgisi dökümü ve veri sızıntısı için Mimikatz, RClone ve PSExec gibi araçlar
- Sızdırılan verilerin gasp için sızıntı sitelerinde yayınlanması
Grup, SOCKS proxy katmanları, phishing altyapısı ve modüler araçlar dahil olmak üzere gelişmiş altyapı yönetimi ile bağlar sergilemiştir. Rusça iç iletişimini sürdürmekte ve Matrix kanalları aracılığıyla koordinasyon sağlamakta, genellikle bağlı kuruluşlar veya aracılarla işbirliği yapmaktadır.
Black Basta kritik altyapı, sağlık, hukuk ve imalat sektörlerine yönelik saldırılarla ilişkilendirilmiştir. 2024'ün en aktif ve yapılandırılmış fidye yazılımı operasyonlarından biri olarak kabul edilmektedir.
Blackbasta tarafından hedef alınan ülkeler
Black Basta'nin faaliyetleri birden fazla bölgeyi kapsamaktadır ve önemli olaylar Amerika Birleşik Devletleri, Almanya, Birleşik Krallık, Kanada ve Avustralya'da rapor edilmiştir. Bu bölgeler, yüksek değerli endüstrileri ve kritik altyapıları nedeniyle sıklıkla hedef alınmaktadır.
Blackbasta tarafından hedeflenen sektörler
Black Basta başta kritik yapısı ve teknolojiye bağımlılığı nedeniyle Sağlık ve Kamu Sağlığı (HPH) sektörü olmak üzere çok çeşitli sektörleri hedef almıştır. Etkilenen diğer sektörler arasında finans, imalat ve bilgi teknolojileri yer almaktadır.
Blackbasta'nın kurbanları
Gizlilik ve güvenlik endişeleri nedeniyle son kurbanların belirli isimleri her zaman kamuya açık olmayabilir, ancak yukarıda belirtilen sektörlerdeki büyük şirketler ve kurumlar da dahil olmak üzere 439'dan fazla kurban sayıyoruz. Son raporlar sağlık sistemlerine, büyük imalat firmalarına ve finans kurumlarına yönelik saldırılara işaret etmektedir.
Blackbasta'nın saldırı yöntemi
Black Basta bağlı kuruluşlar genellikle kimlik avı e-postaları kullanır ve CVE-2024-1709 gibi bilinen güvenlik açıklarından yararlanır. Ayrıca ilk erişimi elde etmek için geçerli kimlik bilgilerini kötüye kullandıkları da bilinmektedir. malware.
Mimikatz gibi araçlar kimlik bilgisi kazıma için kullanılırken, ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) ve PrintNightmare (CVE-2021-34527) gibi güvenlik açıklarından ayrıcalıkları artırmak için yararlanılır.
Grup, Intel ya da Dell gibi zararsız dosya adları kullanarak maskeleme taktikleri uygulamaktadır. Ayrıca uç nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak içinBackstab gibi araçlar kullanıyor ve antivirüs ürünlerini devre dışı bırakmak için PowerShell kullanıyorlar.
Black Basta bağlı kuruluşlar Mimikatz gibi kimlik bilgisi kazıma araçlarını kullanmakta ve ağ içinde yönetici erişimi elde etmek ve ayrıcalıkları artırmak için bilinen güvenlik açıklarından yararlanmaktadır.
SoftPerfect Network Scanner gibi ağ tarama araçları, ağın haritasını çıkarmak ve kilit sistemleri ve veri depolarını belirlemek için kullanılır.
Grup, ağlar arasında yanal olarak hareket etmek için BITSAdmin, PsExec, Uzak Masaüstü Protokolü (RDP), Splashtop, ScreenConnect ve Cobalt Strike gibi araçları kullanmaktadır.
Şifrelemeden önce veriler toplanır ve dışarı sızmaya hazırlanır. Bu, dosyaları sıkıştırmayı veya aktarıma hazırlık için verileri hazırlamayı içerebilir.
Şifrelemeden önce veriler toplanır ve dışarı sızmaya hazırlanır. Bu, dosyaları sıkıştırmayı veya aktarıma hazırlık için verileri hazırlamayı içerebilir.
RClone gibi araçlar, verileri aktör kontrolündeki sunuculara sızdırmak için kullanılır. Bu veriler genellikle kurbanları fidye ödemeye zorlamak için koz olarak kullanılır.
Fidye yazılımı dosyaları RSA-4096 genel anahtarlı bir ChaCha20 algoritması kullanarak şifreliyor ve dosya adlarına .basta veya rastgele bir uzantı ekliyor. Ele geçirilen sistemlere bırakılan fidye notları, kurbanlara bir Tor sitesi aracılığıyla grupla iletişime geçmeleri talimatını veriyor.
Black Basta bağlı kuruluşlar genellikle kimlik avı e-postaları kullanır ve CVE-2024-1709 gibi bilinen güvenlik açıklarından yararlanır. Ayrıca ilk erişimi elde etmek için geçerli kimlik bilgilerini kötüye kullandıkları da bilinmektedir. malware.
Mimikatz gibi araçlar kimlik bilgisi kazıma için kullanılırken, ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) ve PrintNightmare (CVE-2021-34527) gibi güvenlik açıklarından ayrıcalıkları artırmak için yararlanılır.
Grup, Intel ya da Dell gibi zararsız dosya adları kullanarak maskeleme taktikleri uygulamaktadır. Ayrıca uç nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak içinBackstab gibi araçlar kullanıyor ve antivirüs ürünlerini devre dışı bırakmak için PowerShell kullanıyorlar.
Black Basta bağlı kuruluşlar Mimikatz gibi kimlik bilgisi kazıma araçlarını kullanmakta ve ağ içinde yönetici erişimi elde etmek ve ayrıcalıkları artırmak için bilinen güvenlik açıklarından yararlanmaktadır.
SoftPerfect Network Scanner gibi ağ tarama araçları, ağın haritasını çıkarmak ve kilit sistemleri ve veri depolarını belirlemek için kullanılır.
Grup, ağlar arasında yanal olarak hareket etmek için BITSAdmin, PsExec, Uzak Masaüstü Protokolü (RDP), Splashtop, ScreenConnect ve Cobalt Strike gibi araçları kullanmaktadır.
Şifrelemeden önce veriler toplanır ve dışarı sızmaya hazırlanır. Bu, dosyaları sıkıştırmayı veya aktarıma hazırlık için verileri hazırlamayı içerebilir.
Şifrelemeden önce veriler toplanır ve dışarı sızmaya hazırlanır. Bu, dosyaları sıkıştırmayı veya aktarıma hazırlık için verileri hazırlamayı içerebilir.
RClone gibi araçlar, verileri aktör kontrolündeki sunuculara sızdırmak için kullanılır. Bu veriler genellikle kurbanları fidye ödemeye zorlamak için koz olarak kullanılır.
Fidye yazılımı dosyaları RSA-4096 genel anahtarlı bir ChaCha20 algoritması kullanarak şifreliyor ve dosya adlarına .basta veya rastgele bir uzantı ekliyor. Ele geçirilen sistemlere bırakılan fidye notları, kurbanlara bir Tor sitesi aracılığıyla grupla iletişime geçmeleri talimatını veriyor.
Tarafından kullanılan TTP'ler Black Basta
Black Basta ile Nasıl Tespit Edilir? Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
Blackbasta Fidye Yazılımı Nedir?
Blackbasta, Nisan 2022'de ortaya çıkan sofistike bir fidye yazılımı grubudur. Çifte şantaj taktikleri kullanarak kurbanların verilerini şifreliyor ve fidye ödenmezse hassas bilgileri yayınlamakla tehdit ediyorlar.
Blackbasta genellikle bir ağa ilk erişimi nasıl elde eder?
Blackbasta genellikle kötü niyetli ekler veya bağlantılar içeren phishing e-postaları aracılığıyla, herkese açık uygulamalardaki güvenlik açıklarından yararlanarak ve kötü niyetli reklamlar veya arabadan indirmeler kullanarak ilk erişimi elde eder.
Blackbasta'nın en sık hedef aldığı sektörler hangileridir?
Blackbasta, sağlık, üretim, finans, hukuk, eğitim, kamu ve bilgi teknolojileri dahil olmak üzere çok çeşitli sektörleri hedeflemektedir.
Blackbasta saldırılarından en çok hangi ülkeler etkileniyor?
Blackbasta öncelikle Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Almanya, Fransa ve Avustralya'daki kuruluşları hedeflese de küresel bir erişime sahiptir.
Blackbasta tarafından kullanılan bilinen taktik, teknik ve prosedürlerden (TTP'ler) bazıları nelerdir?
Blackbasta phishing (T1566), komut ve komut dosyası yorumlayıcısı (T1059), kimlik bilgisi dökümü (T1003), güvenlik araçlarını devre dışı bırakma (T1562) ve etki için şifrelenmiş veriler (T1486) gibi çeşitli TTP'ler kullanmaktadır.
Blackbasta ele geçirilmiş bir ağda ayrıcalıkları nasıl artırır?
Blackbasta, yamalanmamış yazılım açıklarından yararlanarak ve bellekten kimlik bilgilerini çıkarmak için Mimikatz gibi araçlar kullanarak ayrıcalıkları artırır.
Blackbasta tespit edilmekten kaçmak için hangi yöntemleri kullanıyor?
Blackbasta gizleme teknikleri kullanır, güvenlik araçlarını devre dışı bırakır, arazide yaşama (LotL) taktiklerini kullanır ve tespit edilmekten kaçınmak için yasal yazılım ve araçları kullanır.
Blackbasta bir ağ içinde yanal olarak nasıl hareket eder?
Blackbasta, bir ağ içinde yanal olarak hareket etmek için Uzak Masaüstü Protokolü (RDP), Windows Yönetim Araçları (WMI) ve uzak hizmetleri kullanır.
Blackbasta fidye yazılımı saldırısının tipik aşamaları nelerdir?
Aşamalar arasında ilk erişim, ayrıcalık yükseltme, savunmadan kaçınma, kimlik bilgilerine erişim, keşif, yanal hareket, toplama, yürütme, dışarı sızma ve etki yer almaktadır.
Kuruluşlar Blackbasta fidye yazılımına karşı korunmak için ne gibi önleyici tedbirler alabilir?
Kuruluşlar, sağlam e-posta filtrelemesi uygulayarak, güvenlik açıklarını derhal yamalayarak, çok faktörlü kimlik doğrulama kullanarak, çalışanlar için düzenli güvenlik eğitimi vererek, olağandışı etkinlikleri izleyerek, güncel yedeklemeleri koruyarak ve tehditleri hızlı bir şekilde tespit etmek ve bunlara yanıt vermek için Genişletilmiş Algılama ve Yanıt (XDR) sistemleri kurarak Blackbasta'ya karşı koruma sağlayabilir.