Siyah Basta
Black Basta'nın operasyonel yöntemleri, hedeflerine ulaşmak için hem teknik açıklardan hem de insan faktörlerinden yararlanma konusundaki uyumluluklarını ve istekliliklerini vurgulamaktadır. Bu taktiklerin anlaşılması, kuruluşların bu tür sofistike tehditlere karşı savunmalarını güçlendirmelerine yardımcı olabilir.
Black Basta'nın kökeni
Black Basta, ilk olarak Nisan 2022'de tanımlanan bir hizmet olarak fidye yazılımı (RaaS) varyantıdır. Grup, kurbanlarının verilerini şifreleyerek ve dışarı sızdırarak faaliyet göstermektedir ve Kuzey Amerika, Avrupa ve Avustralya'da aktiftir. Mayıs 2024 itibariyle, Black Basta'ya bağlı kuruluşlar, 16 kritik altyapı sektöründen en az 12'si de dahil olmak üzere küresel çapta 500'den fazla kuruluşu etkilemiş ve Sağlık ve Kamu Sağlığı (HPH) Sektörüne önemli ölçüde odaklanmıştır.
Bazı araştırmacılar taktik, teknik ve prosedürlerdeki (TTPs) benzerliklere dayanarak Black Basta'nın FIN7 ve Conti gibi diğer suç gruplarıyla ilişkili olabileceğini düşünüyor.
Kaynak: OCD
Hedefler
Blackbasta'nın hedefleri
Blackbasta tarafından hedef alınan ülkeler
Black Basta'nın operasyonları birden fazla bölgeyi kapsamakta olup Amerika Birleşik Devletleri, Almanya, Birleşik Krallık, Kanada ve Avustralya'da önemli olaylar rapor edilmiştir. Bu bölgeler, yüksek değerli endüstrileri ve kritik altyapıları nedeniyle sıklıkla hedef alınmaktadır.
Blackbasta tarafından hedeflenen sektörler
Black Basta, kritik yapısı ve teknolojiye olan bağımlılığı nedeniyle başta Sağlık ve Kamu Sağlığı (HPH) sektörü olmak üzere çok çeşitli sektörleri hedef almıştır. Etkilenen diğer sektörler arasında finans, imalat ve bilgi teknolojileri yer almaktadır.
Blackbasta tarafından hedeflenen sektörler
Black Basta, kritik yapısı ve teknolojiye olan bağımlılığı nedeniyle başta Sağlık ve Kamu Sağlığı (HPH) sektörü olmak üzere çok çeşitli sektörleri hedef almıştır. Etkilenen diğer sektörler arasında finans, imalat ve bilgi teknolojileri yer almaktadır.
Blackbasta'nın kurbanları
Gizlilik ve güvenlik endişeleri nedeniyle son kurbanların belirli isimleri her zaman kamuya açık olmayabilir, ancak yukarıda belirtilen sektörlerdeki büyük şirketler ve kurumlar da dahil olmak üzere 439'dan fazla kurban sayıyoruz. Son raporlar sağlık sistemlerine, büyük imalat firmalarına ve finans kurumlarına yönelik saldırılara işaret etmektedir.
Saldırı Yöntemi
Blackbasta'nın saldırı yöntemi
Black Basta iştirakleri genellikle kimlik avı e-postaları kullanır ve CVE-2024-1709 gibi bilinen güvenlik açıklarından faydalanır. Ayrıca ilk erişimi elde etmek için geçerli kimlik bilgilerini kötüye kullandıkları da bilinmektedir. malware.
Mimikatz gibi araçlar kimlik bilgisi kazıma için kullanılırken, ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) ve PrintNightmare (CVE-2021-34527) gibi güvenlik açıklarından ayrıcalıkları artırmak için yararlanılır.
Grup, Intel ya da Dell gibi zararsız dosya adları kullanarak maskeleme taktikleri uygulamaktadır. Ayrıca uç nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak içinBackstab gibi araçlar kullanıyor ve antivirüs ürünlerini devre dışı bırakmak için PowerShell kullanıyorlar.
Black Basta iştirakleri Mimikatz gibi kimlik bilgisi kazıma araçları kullanmakta ve bilinen güvenlik açıklarından yararlanarak ağ içinde yönetici erişimi elde etmekte ve ayrıcalıklarını artırmaktadır.
SoftPerfect Network Scanner gibi ağ tarama araçları, ağın haritasını çıkarmak ve kilit sistemleri ve veri depolarını belirlemek için kullanılır.
Grup, ağlar arasında yanal olarak hareket etmek için BITSAdmin, PsExec, Uzak Masaüstü Protokolü (RDP), Splashtop, ScreenConnect ve Cobalt Strike gibi araçları kullanmaktadır.
Şifrelemeden önce veriler toplanır ve dışarı sızmaya hazırlanır. Bu, dosyaları sıkıştırmayı veya aktarıma hazırlık için verileri hazırlamayı içerebilir.
Şifrelemeden önce veriler toplanır ve dışarı sızmaya hazırlanır. Bu, dosyaları sıkıştırmayı veya aktarıma hazırlık için verileri hazırlamayı içerebilir.
RClone gibi araçlar, verileri aktör kontrolündeki sunuculara sızdırmak için kullanılır. Bu veriler genellikle kurbanları fidye ödemeye zorlamak için koz olarak kullanılır.
Fidye yazılımı dosyaları RSA-4096 genel anahtarlı bir ChaCha20 algoritması kullanarak şifreliyor ve dosya adlarına .basta veya rastgele bir uzantı ekliyor. Ele geçirilen sistemlere bırakılan fidye notları, kurbanlara bir Tor sitesi aracılığıyla grupla iletişime geçmeleri talimatını veriyor.
İlk Erişim
Black Basta iştirakleri genellikle kimlik avı e-postaları kullanır ve CVE-2024-1709 gibi bilinen güvenlik açıklarından faydalanır. Ayrıca ilk erişimi elde etmek için geçerli kimlik bilgilerini kötüye kullandıkları da bilinmektedir. malware.
Ayrıcalık Yükseltme
Mimikatz gibi araçlar kimlik bilgisi kazıma için kullanılırken, ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) ve PrintNightmare (CVE-2021-34527) gibi güvenlik açıklarından ayrıcalıkları artırmak için yararlanılır.
Savunma Kaçırma
Grup, Intel ya da Dell gibi zararsız dosya adları kullanarak maskeleme taktikleri uygulamaktadır. Ayrıca uç nokta algılama ve yanıt (EDR) sistemlerini devre dışı bırakmak içinBackstab gibi araçlar kullanıyor ve antivirüs ürünlerini devre dışı bırakmak için PowerShell kullanıyorlar.
Kimlik Bilgileri Erişimi
Black Basta iştirakleri Mimikatz gibi kimlik bilgisi kazıma araçları kullanmakta ve bilinen güvenlik açıklarından yararlanarak ağ içinde yönetici erişimi elde etmekte ve ayrıcalıklarını artırmaktadır.
Keşif
SoftPerfect Network Scanner gibi ağ tarama araçları, ağın haritasını çıkarmak ve kilit sistemleri ve veri depolarını belirlemek için kullanılır.
Yanal Hareket
Grup, ağlar arasında yanal olarak hareket etmek için BITSAdmin, PsExec, Uzak Masaüstü Protokolü (RDP), Splashtop, ScreenConnect ve Cobalt Strike gibi araçları kullanmaktadır.
Koleksiyon
Şifrelemeden önce veriler toplanır ve dışarı sızmaya hazırlanır. Bu, dosyaları sıkıştırmayı veya aktarıma hazırlık için verileri hazırlamayı içerebilir.
Yürütme
Şifrelemeden önce veriler toplanır ve dışarı sızmaya hazırlanır. Bu, dosyaları sıkıştırmayı veya aktarıma hazırlık için verileri hazırlamayı içerebilir.
Sızma
RClone gibi araçlar, verileri aktör kontrolündeki sunuculara sızdırmak için kullanılır. Bu veriler genellikle kurbanları fidye ödemeye zorlamak için koz olarak kullanılır.
Etki
Fidye yazılımı dosyaları RSA-4096 genel anahtarlı bir ChaCha20 algoritması kullanarak şifreliyor ve dosya adlarına .basta veya rastgele bir uzantı ekliyor. Ele geçirilen sistemlere bırakılan fidye notları, kurbanlara bir Tor sitesi aracılığıyla grupla iletişime geçmeleri talimatını veriyor.
MITRE ATT&CK Haritalama
Kara Basta tarafından kullanılan TTP'ler
Black Basta, MITRE ATT&CK çerçevesiyle uyumlu çeşitli TTP'ler kullanmaktadır. Temel TTP'lerden bazıları şunlardır:
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Platform Tespitleri
Siyah Basta ile Nasıl Tespit Edilir Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
Blackbasta Fidye Yazılımı Nedir?
Blackbasta, Nisan 2022'de ortaya çıkan sofistike bir fidye yazılımı grubudur. Çifte şantaj taktikleri kullanarak kurbanların verilerini şifreliyor ve fidye ödenmezse hassas bilgileri yayınlamakla tehdit ediyorlar.
Blackbasta genellikle bir ağa ilk erişimi nasıl elde eder?
Blackbasta genellikle kötü niyetli ekler veya bağlantılar içeren phishing e-postaları aracılığıyla, herkese açık uygulamalardaki güvenlik açıklarından yararlanarak ve kötü niyetli reklamlar veya arabadan indirmeler kullanarak ilk erişimi elde eder.
Blackbasta'nın en sık hedef aldığı sektörler hangileridir?
Blackbasta, sağlık, üretim, finans, hukuk, eğitim, kamu ve bilgi teknolojileri dahil olmak üzere çok çeşitli sektörleri hedeflemektedir.
Blackbasta saldırılarından en çok hangi ülkeler etkileniyor?
Blackbasta öncelikle Amerika Birleşik Devletleri, Kanada, Birleşik Krallık, Almanya, Fransa ve Avustralya'daki kuruluşları hedeflese de küresel bir erişime sahiptir.
Blackbasta tarafından kullanılan bilinen taktik, teknik ve prosedürlerden (TTP'ler) bazıları nelerdir?
Blackbasta phishing (T1566), komut ve komut dosyası yorumlayıcısı (T1059), kimlik bilgisi dökümü (T1003), güvenlik araçlarını devre dışı bırakma (T1562) ve etki için şifrelenmiş veriler (T1486) gibi çeşitli TTP'ler kullanmaktadır.
Blackbasta ele geçirilmiş bir ağda ayrıcalıkları nasıl artırır?
Blackbasta, yamalanmamış yazılım açıklarından yararlanarak ve bellekten kimlik bilgilerini çıkarmak için Mimikatz gibi araçlar kullanarak ayrıcalıkları artırır.
Blackbasta tespit edilmekten kaçmak için hangi yöntemleri kullanıyor?
Blackbasta gizleme teknikleri kullanır, güvenlik araçlarını devre dışı bırakır, arazide yaşama (LotL) taktiklerini kullanır ve tespit edilmekten kaçınmak için yasal yazılım ve araçları kullanır.
Blackbasta bir ağ içinde yanal olarak nasıl hareket eder?
Blackbasta, bir ağ içinde yanal olarak hareket etmek için Uzak Masaüstü Protokolü (RDP), Windows Yönetim Araçları (WMI) ve uzak hizmetleri kullanır.
Blackbasta fidye yazılımı saldırısının tipik aşamaları nelerdir?
Aşamalar arasında ilk erişim, ayrıcalık yükseltme, savunmadan kaçınma, kimlik bilgilerine erişim, keşif, yanal hareket, toplama, yürütme, dışarı sızma ve etki yer almaktadır.
Kuruluşlar Blackbasta fidye yazılımına karşı korunmak için ne gibi önleyici tedbirler alabilir?
Kuruluşlar, sağlam e-posta filtrelemesi uygulayarak, güvenlik açıklarını derhal yamalayarak, çok faktörlü kimlik doğrulama kullanarak, çalışanlar için düzenli güvenlik eğitimi vererek, olağandışı etkinlikleri izleyerek, güncel yedeklemeleri koruyarak ve tehditleri hızlı bir şekilde tespit etmek ve bunlara yanıt vermek için Genişletilmiş Algılama ve Yanıt (XDR) sistemleri kurarak Blackbasta'ya karşı koruma sağlayabilir.