Black Basta Ransomware-angreb ramte over 500 organisationer rundt om i verden

Den globale virkning af Black Basta Rnsomware-angrebene har været enorm, med over 500 organisationer, der er blevet ofre for denne truende aktivitet. Denne gruppe, der er identificeret siden april 2022, opererer inden for ransomware-as-a-service (RaaS)-modellen, hvor tilknyttede virksomheder udfører cyberangreb på vegne af gruppen, rettet mod kritisk infrastruktur på tværs af Nordamerika, Europa og Australien. Navnlig har Black Basta -tilknyttede selskaber udnyttet sårbarheder som CVE-2024-1709 , en kritisk ConnectWise ScreenConnect-fejl, for at få indledende adgang til ofrets netværk.

Når de først er inde, bruger de forskellige værktøjer til fjernadgang, netværksscanning og dataeksfiltrering, inklusive SoftPerfect, PsExec og Mimikatz. De er også kendt for at udnytte sårbarheder såsom ZeroLogon og PrintNightmare til privilegie-eskalering, samt at udnytte Remote Desktop Protocol (RDP) til lateral bevægelse. Derudover tilføjer implementeringen af Backstab-værktøjet til at deaktivere endpoint detection and response (EDR) løsninger det sofistikerede i deres angreb.

For at forhindre genoprettelsesindsatsen sletter angriberne volumenskyggekopier, før de krypterer kompromitterede systemer og efterlader en løsesumseddel. Som reaktion på disse trusler har offentlige myndigheder som CISA, FBI, HHS og MS-ISAC udsendt advarsler, der beskriver Black Bastas taktik, teknikker og procedurer (TTP'er) sammen med indikatorer for kompromis (IoC'er) og anbefalede afhjælpninger.

Særligt sårbare er sundhedsorganisationer på grund af deres størrelse, teknologiske afhængighed og adgang til personlige sundhedsoplysninger. I erkendelse af dette, opfordrer de førnævnte agenturer alle kritiske infrastrukturenheder, især dem i sundhedssektoren, til at implementere anbefalede begrænsninger for at reducere risikoen for kompromis fra Black Basta og lignende ransomware-angreb.

På trods af udfordringerne ved sådanne angreb har der været bestræbelser på at hjælpe ofrene. I januar 2024 udgav SRLabs en gratis dekryptering for at hjælpe Black Basta-ofre med at gendanne deres data uden at give efter for krav om løsesum. Sådanne bestræbelser har virket for nogle ofre for truslen, men mange er blevet bedt om at bruge anti-malware-ressourcer for at befri deres system for den grimme malware-trussel, ud over andre lignende trusler. Sådanne initiativer fremhæver den samarbejdstilgang, der er nødvendig for effektivt at bekæmpe aggressive ransomware-trusler.