ReliaQuestによると、元ブラック・バスタの提携者の小グループが、数十の組織にわたる100人以上の従業員をターゲットに、ネットワークシステムへの侵入、データ盗難、ランサムウェア展開、恐喝の可能性を狙っています。
大量のメール爆弾とMicrosoft Teamsヘルプデスク偽装を伴うソーシャルエンジニアリングキャンペーンは、先月急増し、少なくとも2025年5月にまでさかのぼるとReliaQuestは火曜日のレポートで述べました。
攻撃者は高い権限アクセスを得るためにシニアリーダーシップを主にターゲットにしました。「ターゲットにされたユーザーのほぼ3分の3は、経営幹部、取締役、マネージャー、またはそれに類する高価値の役職でした」とレポートに関わった研究者がメールでCyberScoopに伝えました。
Contiの分派であるブラック・バスタに関与するサイバー犯罪者は、脅威グループの内部チャットログがオンラインでリークされた2025年2月の後に分散し、脅威研究者と当局にグループの活動に関する重要な詳細情報を提供しました。
ドイツ警察は1月にロシア国籍の男性オレグ・エフゲニエヴィッチ・ネフェドフをブラック・バスタの疑い指導者として公開識別しました。その後ユーロポールとインターポールの指名手配リストに追加された35歳のネフェドフは、2022年以来ブラック・バスタを設立して運営したと当局は述べています。
彼はドイツで100社以上、世界中で約600の他国の企業からの恐喝で告発されています。
ReliaQuestは、最近観察されたキャンペーンが以前のブラック・バスタの活動と多くの類似点を共有し、かつて多産的なランサムウェアグループに関連する同じプレイブック(ツール、ターゲッティング、実行スタイル)に従うと述べました。
「これには遠隔アクセスツールの繰り返し使用、ブラック・バスタが歴史的に好んだセクターの強い集中、および経験豊富なオペレーターが既に機能することがわかっているプレイブックを基に構築していることを示唆する速度と調整のレベルが含まれます」と研究者は述べました。
「私たちは一つの成果物を決定的な証拠として扱わないように注意していますが、合わせると、類似点は十分に強力で、元の提携者または密接に調整されたオペレーターが関与している可能性が高いと評価します」とReliaQuest研究者は追加しました。
ブラック・バスタのデータリークサイトは、昨年内部チャットがリークした直後にシャットダウンされましたが、逮捕されていないサイバー犯罪者は通常、攻撃やディスバンド後に分散して新しいグループに参加します。脅威ハンターは、元メンバーが今年初めにまだ積極的に追加の被害者をターゲットにしていると警告しました。
ReliaQuestは、3月の活動の特に急激なスパイクを観察した後、グループのターゲットがシニア従業員にさらに焦点を当てていることに注目して、侵害の指標を含むレポートをリリースしました。
「オペレーターは非常に迅速に移動しており、ワークフローの一部がより自動化または高度に合理化されており、キャンペーンを拡大しやすく、遠隔アクセスが確立される前にディフェンダーが中断するのが難しくなります」と研究者は述べました。
ReliaQuestによると、最近のブラック・バスタスタイルの攻撃でターゲットにされた上位5つのセクターは、製造業、専門サービス、金融と保険、建設、技術です。
攻撃者は通常、数分以内に数百のメールでターゲット従業員を爆撃してから、ターゲットユーザーに連絡し、Microsoft TeamsのダイレクトメッセージまたはPhone コールを通じてIT サポートになりすまします。ReliaQuestは、メール爆弾の最初の兆候の数分後にリモートアクセスを実現する攻撃者を観察したと述べました。
研究者は、これまでこのキャンペーンの結果として何組織が成功裏に侵入されたかについては述べていません。
恐喝が最も可能性の高い目的に見えますが、ReliaQuestはすべての攻撃がランサムウェア暗号化をもたらすと仮定することに対して警告しました。
「私たちが観察したことに基づいて、侵入チェーンは迅速にアクセスを取得し、環境を理解し、フォローアップの収益化の選択肢を作成するために構築されています」と研究者は述べました。「これは、被害者と機会に応じて、データ盗難、暗号化なしの恐喝、またはランサムウェア展開につながる可能性があります。」
翻訳元: https://cyberscoop.com/black-basta-affiliates-senior-executives-reliaquest/
