Kant's IT/Issue on IT&Security

Black Basta Ransomware

Kant Jo 2024. 9. 22. 23:19

Black Basta Ransomware: What You Need to Know | Qualys Security Blog

  • 개요

    • Black Basta2022년 4월에 처음 등장한 랜섬웨어-as-a-service (RaaS) 그룹
    • 이중 갈취 기법을 사용하여 데이터 복구를 위한 복호화 비용데이터 유출 방지 비용을 동시에 요구
    • 500개 이상의 조직이 피해를 입었으며, 주로 북미, 유럽, 호주에서 발생
    • FIN7과 관련된 엔드포인트 탐지 회피 모듈을 사용한 것으로 알려짐

  • 주요 공격 도구 및 취약점

    • 사용 도구
      • Qakbot, Cobalt Strike, PowerShell, Mimikatz 등 다양한 도구와 멀웨어를 사용
    • 악용된 취약점
      • CVE-2024-1709 (ConnectWise)
      • CVE-2024-26169 (Windows Error Reporting Service)
      • CVE-2020-1472 (ZeroLogon)
      • CVE-2021-42278CVE-2021-42287 (NoPac)
      • CVE-2021-34527 (PrintNightmare)

  • 공격 기법 및 절차

    • 스피어 피싱을 통해 초기 감염
    • 감염 후 Qakbot을 사용해 원격 제어추가 악성코드 배포
    • Mimikatz관리자 자격 증명을 탈취하고, Cobalt Strike네트워크 횡적 이동
    • 데이터 탈취RcloneWinSCP를 사용해 데이터를 클라우드로 전송
    • ChaCha20 알고리즘으로 파일 암호화 후, 공개 키(RSA-4096) 로 암호화된 키를 보호

  • 탐지 및 대응 방법

    • EDR을 통해 vssadmin 사용 및 파일 삭제, 시스템 재부팅 등 행위를 탐지
    • 추적 쿼리를 사용해 비정상적인 프로세스 및 파일 변조, 네트워크 연결 등을 탐지

  • MITRE ATT&CK 매핑

    • 초기 접근: 피싱, 공개 애플리케이션 악용 (T1566, T1190)
    • 권한 상승: 권한 상승 취약점 악용 (T1068)
    • 방어 회피: 안전 모드 부팅, 툴 비활성화 (T1562.009, T1562.001)
    • 데이터 암호화: 시스템 복구 방해 및 데이터 암호화 (T1490, T1486)

  • 대응 방안

    • 강력한 패스워드다중 인증 사용
    • EDR 도구 설치로 실시간 감시 및 방어 강화
    • 데이터 백업복원 계획 수립을 통해 랜섬웨어 공격에 대비
저작자표시 비영리 변경금지

'Kant's IT > Issue on IT&Security' 카테고리의 다른 글

중국 해킹 조직 플랙스타이푼, 26만대 IoT 장비 봇넷 운영 적발  (0) 2024.09.23
북한 해커, RustDoor 악성코드로 LinkedIn에서 암호화폐 사용자 타깃  (1) 2024.09.23
북한 해커, 주요 인프라 종사자 대상 트로이 목마 해킹 공격  (0) 2024.09.22
Progress WhatsUp Gold 취약점 악용: PoC 공개 후 몇 시간 만에 발생한 공격  (0) 2024.09.22
핀테크업계, 개인정보 처리방침 재정비 및 정보보호 강화  (1) 2024.09.22

'Kant's IT/Issue on IT&Security'의 다른글

  • 현재글Black Basta Ransomware

관련글

티스토리툴바