2024/12/05 英國大型電信業者BT Group傳出遭到勒索軟體攻擊,駭客組織Black Basta聲稱是他們所為,並竊得500 GB內部資料,涵蓋財務資料、內部資料,以及使用者個資,對此BT Group證實遭到攻擊,但強調受害範圍僅限於會議平台,核心服務並不會受到影響。
根據網路安全公司 Elliptic 和網路保險公司 Corvus Insurance 的研究,截止 2023 年 11 月為止,Black Basta勒索軟體組織已從超過 90 名受害者身上獲得至少 1 億美元的贖金。
勒索軟體是一種極具威脅性的惡意軟體,通過加密受害者的數據來要求贖金。Black Basta 是近年來一種迅速崛起的勒索軟體家族,以其針對性攻擊與多樣化手段對企業和組織構成了重大威脅。
一、Black Basta 的運作方式
Black Basta 的主要運作模式包括感染系統、數據加密以及勒索行為。以下是其典型的攻擊流程:
1、初始進入點:
Black Basta 通常透過以下方式進入目標系統:
● 釣魚電子郵件:攻擊者會發送包含惡意附件或連結的電子郵件,引誘受害者點擊。
● 漏洞利用:利用未修補的軟體或系統漏洞入侵目標網絡。
● 憑證洩漏:通過購買或盜取管理員憑證直接訪問內部系統。
2、權限提升與橫向移動
成功進入系統後,Black Basta 會利用工具如 Mimikatz 或 Cobalt Strike 來竊取憑證並提升權限,隨後在網絡內橫向移動以感染更多設備。
3、加密數據
● Black Basta 使用強大的對稱加密(如 AES)加密文件,並以非對稱加密(如 RSA)保護加密密鑰。
● 攻擊者還會刪除備份(例如清除影像副本),進一步鎖定受害者的數據。
4、勒索與洩露威脅
Black Basta 結合了勒索和數據洩露的雙重威脅。攻擊者除了加密數據,還會竊取敏感信息,並威脅將其公開或出售,增加受害者支付贖金的壓力。
二、防範措施
防範 Black Basta 的關鍵在於建立強大的網絡安全策略與應急計劃:
1、預防層級
● 員工教育:定期培訓員工識別釣魚電子郵件,減少攻擊成功率。
● 漏洞管理:定期更新軟體與操作系統,修補已知漏洞。
● 憑證保護:實施多因素認證(MFA),限制憑證洩漏的影響。
2、檢測與響應
● 端點檢測與回應(EDR):部署能識別惡意活動的安全工具。如NEITHNET自主研發的NEITHSeeker(MDR),透過資深資安團隊服務,分析警示資訊當中潛藏的危險徵兆,提供及時有效的處理,避免被加密勒贖、資料破壞,造成企業營運損失。
● 流量監控:分析網絡流量,檢測可疑的橫向移動或外部通信。如NEITHNET自主研發的NEITHViewer內網威脅鑑識服務,提供內網異常流量行為監控,透過網路行為與大量惡意情資,搭配富有經驗的資深網路攻擊分析師,讓內網威脅無所遁形。
3、數據保護
● 備份策略:定期備份關鍵數據,並確保備份儲存在隔離環境中。
● 數據分類與加密:識別與保護最敏感的數據。
4、應急計劃
制定與演練事件響應計劃,快速隔離受感染的設備,以減少攻擊範圍。
Black Basta 勒索軟體以其高效的技術與靈活的攻擊模式成為當前資訊安全領域的重大威脅。然而,通過全面的安全策略、嚴謹的檢測機制以及完善的應急計劃,企業和個人可以有效降低其風險影響。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
