泄露事件揭露 Black Basta 勒索软件组织的战术、技术与流程
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
Black Basta 勒索软件组织的聊天记录泄露,包含约 20 万条信息,揭示了其攻击手法和工具,影响全球 500 多家实体。该组织通过加密数据和威胁公开信息实施双重勒索。泄露信息将帮助网络安全专家改进防御策略。
🎯
关键要点
- Black Basta 勒索软件组织的聊天记录泄露,包含约 20 万条信息,揭示其攻击手法和工具。
- 泄露事件由 Telegram 用户 ExploitWhispers 公布,时间跨度从 2023 年 9 月到 2024 年 6 月。
- 该组织采用勒索软件即服务(RaaS)模式,目标遍布全球多个国家,影响超过 500 家实体。
- Black Basta 采用双重勒索策略,既加密数据又威胁公开信息。
- 美国网络安全和基础设施安全局(CISA)与联邦调查局(FBI)联合发布的报告详细描述了该组织的活动。
- 攻击方法通常从网络钓鱼邮件开始,利用恶意附件或链接进行初始访问。
- 泄露信息揭示了 Black Basta 使用的复杂技术工具库,包括 ifconfig.exe、netstat.exe 和 ping.exe 等。
- 该组织利用临时目录和滥用后台智能传输服务(BITS)来绕过防御。
- 通过 AnyDesk 等远程管理工具建立命令和控制访问,横向移动通过 BITSAdmin 和 PsExec 实现。
- 使用 Mimikatz 获取凭证,并通过 PowerShell 脚本下载文件和执行恶意载荷。
- 数据窃取是双重勒索计划中的关键步骤,主要通过 Rclone 工具进行。
- 加密文件附加 '.basta' 扩展名,并删除卷影副本以防止恢复操作。
- 泄露的技术细节为网络安全防御者提供了宝贵信息,帮助制定更好的检测和缓解策略。
❓
延伸问答
Black Basta 勒索软件组织的主要攻击手法是什么?
Black Basta 主要通过网络钓鱼邮件、恶意附件或链接进行初始访问,并采用双重勒索策略加密数据和威胁公开信息。
此次泄露事件的影响范围有多大?
此次泄露事件影响了全球超过 500 家实体,涉及北美、欧洲和澳大利亚的多个行业,尤其是医疗组织。
Black Basta 使用了哪些技术工具?
Black Basta 使用了 ifconfig.exe、netstat.exe、ping.exe、Mimikatz、Rclone 等多种复杂技术工具。
泄露的信息对网络安全防御者有什么帮助?
泄露的信息为网络安全防御者提供了关于 Black Basta 的战术、技术和程序的关键细节,帮助他们制定更好的检测和缓解策略。
Black Basta 采用的勒索软件即服务(RaaS)模式是什么?
勒索软件即服务(RaaS)模式是指该组织提供其勒索软件工具给其他犯罪分子使用,以获取经济利益。
Black Basta 如何进行数据窃取?
Black Basta 通过 Rclone 工具进行数据窃取,这是其双重勒索计划中的关键步骤。
➡️
