Black Basta Ransomware атаки засягат над 500 организации по целия свят

Глобалното въздействие на атаките на Black Basta Rnsomware е огромно, като над 500 организации са станали жертва на тази заплашителна дейност. Тази група, идентифицирана от април 2022 г., работи в рамките на модела рансъмуер като услуга (RaaS), където свързаните лица извършват кибератаки от името на групата, насочени към критична инфраструктура в Северна Америка, Европа и Австралия. По-специално, филиалите на Black Basta са използвали уязвимости като CVE-2024-1709 , критичен пропуск на ConnectWise ScreenConnect, за да получат първоначален достъп до мрежите на жертвите.

Веднъж вътре, те използват различни инструменти за отдалечен достъп, мрежово сканиране и ексфилтриране на данни, включително SoftPerfect, PsExec и Mimikatz. Известно е също, че използват уязвимости като ZeroLogon и PrintNightmare за ескалация на привилегии, както и използват Remote Desktop Protocol (RDP) за странично движение. В допълнение, внедряването на инструмента Backstab за деактивиране на решенията за откриване и реагиране на крайни точки (EDR) добавя към сложността на техните атаки.

За да попречат на усилията за възстановяване, нападателите изтриват скритите копия на тома, преди да криптират компрометираните системи и да оставят след себе си бележка за откуп. В отговор на тези заплахи правителствени агенции като CISA, FBI, HHS и MS-ISAC издадоха предупреждения, описващи подробно тактиките, техниките и процедурите (TTP) на Black Basta, заедно с индикатори за компромис (IoC) и препоръчани смекчаващи мерки.

Особено уязвими са здравните организации поради техния размер, технологична зависимост и достъп до лична здравна информация. Признавайки това, гореспоменатите агенции призовават всички критични инфраструктурни субекти, особено тези в сектора на здравеопазването, да приложат препоръчани смекчаващи мерки, за да намалят риска от компрометиране от Black Basta и подобни атаки на ransomware.

Въпреки предизвикателствата, породени от подобни атаки, бяха положени усилия за оказване на помощ на жертвите. През януари 2024 г. SRLabs пусна безплатен декриптор, за да помогне на жертвите на Black Basta да възстановят данните си, без да се поддават на исканията за откуп. Подобни усилия са работили за някои жертви на заплахата, но много от тях са били принудени да използват ресурси за защита от злонамерен софтуер, за да отърват системата си от неприятната заплаха от злонамерен софтуер, в допълнение към други подобни заплахи. Такива инициативи подчертават подхода на сътрудничество, необходим за ефективна борба с агресивните заплахи от ransomware.