ランサムウェアグループ「Black Basta」は重要インフラ組織をもてあそんでいる：Cybersecurity Dive

ランサムウェアグループBlack Bastaは、全世界で500以上のターゲットに影響を与え、重要インフラ業界の大部分に影響を及ぼしている。多くの攻撃は、ConnectWise ScreenConnectの脆弱性を悪用しているという。

[David Jones，Cybersecurity Dive]

　連邦捜査局（FBI）と米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2024年5月10日（現地時間、以下同）（注1）、保健医療省およびMS-ISACとの共同勧告で「ランサムウェアグループ『Black Basta』はここ数カ月で医療やその他の重要インフラプロバイダーを標的にしており、2024年5月までに世界中で500以上の組織に影響を与えている」という警告を発表した。

　この警告は、2024年5月6日の週に、大手医療機関のAscensionに対するランサムウェア攻撃が実行された直後に発表された（注2）。その攻撃で、同機関は患者を別の医療機関に移送せざるを得なかった。

Black Bastaが展開するソーシャルエンジニアリング攻撃とは？

　Black Bastaは、政府が指定する16の重要インフラ業界のうち12の業界を標的としている。また、連邦当局は、Ransomware as a Service（RaaS）を展開する同グループが、2024年2月以降、リモートアクセスツール「ConnectWise ScreenConnect」の重大な脆弱（ぜいじゃく）性を悪用していると考えている。

　サイバーセキュリティ事業を営むRapid7が2024年5月10日に発表した調査によると（注3）、Black Bastaは、MDR（Managed Detection and Response）サービスの利用者を標的にしたソーシャルエンジニアリングキャンペーンを展開している。ユーザーは「AnyDesk」やMicrosoftのクイックアシスト機能などのリモート管理ツールをダウンロードするよう促されている。

　今回の警告は、病院や公衆衛生機関に対する攻撃が相次いでエスカレートしている中で出された。

　Black Bastaは以前、ConnectWise ScreenConnectの重大な脆弱性の悪用を含む脅威活動に関連付けられていた。サイバーセキュリティ企業であるTrend Microの研究者は、Black Bastaを共通脆弱性評価システム（CVSS）におけるスコアが10である重大な脆弱性「CVE-2024-1709」の悪用と関連付けた（注4）（注5）。

　サイバーセキュリティ企業であるKroll Cyber Riskのローリー・イアコノ氏（北米における脅威を担当するインテリジェンスリード）は、電子メールで「ヘルスケア業界だけでなく、Black Bastaは公益事業や製造業も標的にしている」と述べた。

　Rapid7によると、2024年4月以降、BlackBastaはソーシャルエンジニアリング攻撃を複数回試みている。

　Rapid7のロバート・ナップ氏（インシデント対応サービスのシニアマネジャー）は、電子メールで次のように述べた。

　「これらのソーシャルエンジニアリングイベントの調査の一環として、私たちは以前に調査したBlack Bastaの他のケースと一致する指標を、ホワイトベースおよびネットワークベースで観察した」

　また、Rapid7の研究者は、CISAの勧告において引用されている活動との重複も確認した。

（注1）#StopRansomware: Black Basta（Joint Cybersecurity Advisory）
（注2）Some Ascension hospitals diverting emergency care after cybersecurity incident（Cybersecurity Dive）
（注3）Ongoing Social Engineering Campaign Linked to Black Basta Ransomware Operators（RAPID7）
（注4）ConnectWise ScreenConnect critical CVE lures an array of threat actors（Cybersecurity Dive）
（注5）CVE-2024-1709 Detail（NIST）