Els atacs de Black Basta Ransomware van afectar més de 500 organitzacions d'arreu del món

L'impacte global dels atacs de Black Basta Rnsomware ha estat enorme, amb més de 500 organitzacions que han estat víctimes d'aquesta activitat amenaçadora. Aquest grup, identificat des de l'abril de 2022, opera dins del model de ransomware com a servei (RaaS), on els afiliats executen ciberatacs en nom del grup, dirigits a la infraestructura crítica d'Amèrica del Nord, Europa i Austràlia. En particular, els afiliats de Black Basta han explotat vulnerabilitats com CVE-2024-1709 , un defecte crític de ConnectWise ScreenConnect, per obtenir l'accés inicial a les xarxes de víctimes.

Un cop a dins, utilitzen diverses eines per a l'accés remot, l'escaneig de la xarxa i l'exfiltració de dades, com ara SoftPerfect, PsExec i Mimikatz. També se sap que exploten vulnerabilitats com ZeroLogon i PrintNightmare per a l'escalada de privilegis, a més d'aprofitar el protocol d'escriptori remot (RDP) per al moviment lateral. A més, el desplegament de l'eina Backstab per desactivar les solucions de detecció i resposta de punt final (EDR) augmenta la sofisticació dels seus atacs.

Per dificultar els esforços de recuperació, els atacants suprimeixen les còpies d'ombra de volum abans de xifrar els sistemes compromesos i deixar enrere una nota de rescat. En resposta a aquestes amenaces, agències governamentals com CISA, FBI, HHS i MS-ISAC han emès alertes que detallen les tàctiques, tècniques i procediments (TTP) de Black Basta, juntament amb indicadors de compromís (IoC) i mitigacions recomanades.

Les organitzacions sanitàries són especialment vulnerables per la seva mida, dependència tecnològica i accés a la informació personal de salut. Reconeixent això, les agències esmentades insten a totes les entitats d'infraestructures crítiques, especialment les del sector sanitari, a implementar les mitigacions recomanades per reduir el risc de compromís amb Black Basta i atacs de ransomware similars.

Malgrat els reptes que plantegen aquests atacs, hi ha hagut esforços per ajudar les víctimes. El gener de 2024, SRLabs va llançar un desxifrador gratuït per ajudar les víctimes de Black Basta a recuperar les seves dades sense sucumbir a les demandes de rescat. Aquests esforços han funcionat per a algunes víctimes de l'amenaça, però moltes han estat obligats a utilitzar recursos anti-malware per alliberar el seu sistema de la desagradable amenaça de programari maliciós, a més d'altres amenaces similars. Aquestes iniciatives destaquen l'enfocament col·laboratiu necessari per combatre les amenaces de ransomware agressives de manera eficaç.