Útoky ransomwaru Black Basta zasáhly více než 500 organizací po celém světě

Globální dopad útoků Black Basta Rnsomware byl obrovský a více než 500 organizací se stalo obětí této hrozivé aktivity. Tato skupina, identifikovaná od dubna 2022, funguje v rámci modelu ransomware-as-a-service (RaaS), kde její pobočky provádějí kybernetické útoky zaměřené na kritickou infrastrukturu v Severní Americe, Evropě a Austrálii. Je pozoruhodné, že pobočky Black Basta využily zranitelnosti, jako je CVE-2024-1709 , kritická chyba ConnectWise ScreenConnect, k získání počátečního přístupu k sítím obětí.

Jakmile jsou uvnitř, využívají různé nástroje pro vzdálený přístup, síťové skenování a exfiltraci dat, včetně SoftPerfect, PsExec a Mimikatz. Je také známo, že využívají zranitelnosti, jako jsou ZeroLogon a PrintNightmare, pro eskalaci oprávnění a také využívají protokol RDP (Remote Desktop Protocol) pro pohyb do stran. Navíc nasazení nástroje Backstab pro deaktivaci řešení detekce a odezvy koncových bodů (EDR) přispívá k sofistikovanosti jejich útoků.

Aby útočníci zabránili úsilí o obnovu, před zašifrováním kompromitovaných systémů a zanecháním výkupného vymažou stínové kopie svazku. V reakci na tyto hrozby vydaly vládní agentury jako CISA, FBI, HHS a MS-ISAC výstrahy podrobně popisující taktiku, techniky a postupy (TTP) společnosti Black Basta spolu s indikátory kompromisu (IoC) a doporučenými zmírněními.

Obzvláště zranitelné jsou zdravotnické organizace kvůli jejich velikosti, technologické závislosti a přístupu k osobním zdravotním informacím. Výše uvedené agentury si to uvědomují a vyzývají všechny subjekty kritické infrastruktury, zejména ty v sektoru zdravotnictví, aby zavedly doporučená opatření ke snížení rizika kompromitace útoků Black Basta a podobných ransomwarových útoků.

Navzdory problémům, které takové útoky představují, bylo vynaloženo úsilí obětem pomoci. V lednu 2024 společnost SRLabs vydala bezplatný dešifrovací nástroj, který má pomoci obětem Black Basta při obnově jejich dat, aniž by podlehly požadavkům na výkupné. Takové snahy se některým obětem této hrozby osvědčily, ale mnoho z nich muselo kromě jiných podobných hrozeb využít prostředky proti malwaru, aby zbavily svůj systém ošklivé hrozby malwaru. Tyto iniciativy zdůrazňují přístup spolupráce potřebný k účinnému boji s agresivními ransomwarovými hrozbami.