✅ 보고서 제목:

블랙 바스타(Black Basta)에 대한 간략한 개요

✅ 보고서 요약:

- Black Basta 랜섬웨어는 2022년 2월 초부터 .encrypted 확장자를 사용하는 “no_name_software”라는 이름의 랜섬웨어로 처음 개발이 시작되었습니다.

- 이 후 2022년 4월 둘째 주에 Black Basta의 이름으로 첫 공격을 수행하였으며, 독일에 풍력 발전소 운영 업체인 Deutsche Windtechnik를 공격한 것이 알려지면서 주목을 받기 시작하였습니다.

- Black Basta 랜섬웨어 피해를 입은 국가로는 미국이 가장 많았으며, 주로 건설 및 제조업을 타겟으로 삼고 있습니다.

📌 주요 특징은 무엇인가요?

- 해외 악성코드 분석 전문 팀인 MalwareHunterTeam의 트윗에 의하면 피해자와의 협상 스타일과 릭 사이트 디자인 등이 Conti와 많이 유사하다고 언급했습니다.

- Black Basta라는 사용자가 XSS, Exploit.in에서 활동 중

- (2022.04.20) Exploit.in에서 미국, 캐나다, 영국, 호주, 뉴질랜드 국가에 있는 기업의 네트워크 액세스 계정을 구입하려는 활동을 확인

- SentinelOne의 보고서에 의하면, Black Basta 랜섬웨어 Operator가 FIN7과 연관성이 있다고 발표했습니다.

- Sophos에 의하면, Black Basta, Hive, Royal 랜섬웨어를 유포하는 그룹간 TTPs에 유사성이 있다고 언급하였으며, 세 그룹 간 공격 플레이북을 공유하고 있거나 Affiliate를 공유하고 있는 것으로 추정

- 세 그룹 모두 동일한 사용자 이름과 패스워드를 사용하여 백도어 계정을 만들어 시스템을 장악

- 세 그룹 모두 피해 기업의 이름으로 .7z 파일을 생성하여 최종 페이로드를 타겟 시스템에 배포

- 세 그룹 모두 동일한 배치 스크립트 및 파일로 명령어를 실행시켜 타겟 시스템을 감염

- Mandiant에 의하면, Black Basta의 Affiliate를 대부분의 활동 클러스터인 UNC4393과 고유한 TTP를 보여주는 UNC3973으로 분류했습니다.

- Microsoft에 의하면, Black Basta 랜섬웨어를 유포하는 Storm-0566 그룹이 CVE-2024-37085 취약점을 사용한 사례를 공개

- Prodaft에 의하면, 25년 2월 11일에 Black Basta가 러시아 은행을 타겟으로 삼았다는 이유로 내부 인원이 채팅 로그를 유출하였으며, 주요 멤버들은 Cactus 그룹으로 옮겨 갔다고 언급

- QBot 악성코드 배포에 사용되는 대규모 스팸 캠페인을 운영하고 있는 Tramp (LARVA-18)라는 유저가 주도한 것으로 밝혀짐

📌 최근 이슈는 무엇이 있었나요?

(2025-02-21) BlackBasta의 내부 채팅 로그가 유출된 사건이 있었습니다. 텔레그램 @ExploitWhisper 채널을 통해 유출되었으며, 2023년 9월 18일부터 2024년 09월 28일까지 약 1년 간의 Black Basta 랜섬웨어 공격 그룹 Matrix 채팅 로그에 대한 내용입니다.

구체적인 내용은 아래와 같습니다.

- 대부분의 대화가 러시아어로 이루어져 있으며, 러시아 표준 시간 UTC+3(모스크바 시간)에 맞춰 활동하는 것으로 보아, Black Basta의 멤버들은 주로 러시아인으로 구성되어 있을 것으로 추정됩니다.

- Black Basta는 국내 기업의 해외 지사를 공격하여 Database를 유출한 이력이 있으며, 대화 내역에서 한국 기업들의 VPN, 내부망 접근을 위한 IP, 자격 증명 등을 언급한 내용이 확인됩니다.

- 공격 대상 기업의 직원에 대한 주소록을 공유하고, IT부서의 직원을 사칭하는 등 피싱 공격 및 사회공학적 기법 또한 적극적으로 활용하고 있습니다.

- Black Basta의 총관리자로 추정되는 멤버는 @usernamegg 이며, Matrix 메신저를 통해 운영하는 총 7개의 홈서버 중 matrix.bestflowers247.online에 인원이 가장 많고 주된 공격 활동이 이뤄지고 있습니다.

- (2024-09-24) 총관리자인 @usernamegg 유저가 닉네임을 @usergg로 변경하고 새로운 커뮤니케이션 서비스를 도입하겠다고 발표하여, 해당 그룹이 Matrix를 더 이상 사용하지 않고 새로운 플랫폼으로 옮겨 활동하는 것으로 추정됩니다.

- 유출된 채팅 로그 내 총 176개의 암호화폐 지갑 주소를 식별했습니다.

- 확인된 176개의 암호화폐 주소는 과거 타 랜섬웨어 그룹에서 확인된 적이 없는 신규 주소로 확인되었으며, 이는 Black Basta 멤버들이 다른 랜섬웨어 그룹과의 접점이 없는 것으로 볼 수 있습니다.

- 총관리자로 추정되는 @usernamegg 유저를 중심으로 여러 역할의 유저에게 작업 보상이 전달되고 있는 것으로 확인되었으며, 작업에 필요한 금액도 @usernamegg 유저가 지원하고 있습니다.

- @usernamegg 유저를 포함한 Black Basta 멤버들은 Bitcoin 외에도 Monero, Ethereum, Tether 등 여러 유형의 암호화폐를 사용하는 것으로 확인되었으며, 주로 매 작업 결과물마다 보상을 받는 방식으로 보상 지불이 이루어집니다.

- 랜섬웨어에 감염시키기 위해 필요한 임의 명령어 실행이 가능한 취약점을 주로 활용하는것으로 보입니다.

- PlaoAlto Networks 제품 취약점인 CVE-2024-3400, Fortinet 제품 취약점인 CVE-2024-21762과 같이 네트워크 장비 및 VPN 장비와 관련된 취약점에 관심이 깊습니다.

- 이 외, 업무와 관련된 Atlassian 제품 취약점인 CVE-2023-22515 취약점, 2024년 2월에 공개된 Outlook에서 발생하는 CVE-2024-21413 취약점 등 공개된 날짜와는 관계없이 악용하고 있어 제품에 대해 최신버전 패치 적용을 권장합니다.

- 임의 명령어에 실행한 이후 추가 취약점을 찾거나 더 많은 정보를 탈취하기 위한 도구들을 활용하는 것으로 보입니다.

- Nidhogg와 같이 공개된 소프트웨어 루트킷을 활용하여 랜섬웨어 프로세스를 숨기는 등의 공격방식도 고려한 것으로 보입니다.

- mimikatz 등을 통해 패스워드를 추출하고 EventLog Crasher를 통해 포렌식을 방해하기 위한 추가 대책도 고려한 것으로 보입니다.

✅ 위협 탐지 권장 사항 및 조치 방안:

보다 구체적인 분석 및 조치 방안은 내용은 아래 링크를 통해 접수해 주세요.

🧑‍💻 보고서 작성자: S2W TALON (2025-02-24 기준)

👉 보고서 전문 문의하기: https://s2w.inc/ko/contact

*해당 보고서는 별도 문의 가능하며 S2W의 QUAXAR 플랫폼 구독 시 전문으로 제공됩니다.