Οι επιθέσεις Black Basta Ransomware έπληξαν πάνω από 500 οργανισμούς σε όλο τον κόσμο

Ο παγκόσμιος αντίκτυπος των επιθέσεων Black Basta Rnsomware ήταν τεράστιος, με πάνω από 500 οργανισμούς να πέφτουν θύματα αυτής της απειλητικής δραστηριότητας. Αυτή η ομάδα, που προσδιορίστηκε από τον Απρίλιο του 2022, λειτουργεί στο πλαίσιο του μοντέλου ransomware-as-a-service (RaaS), όπου οι συνδεδεμένες εταιρείες εκτελούν κυβερνοεπιθέσεις για λογαριασμό της ομάδας, στοχεύοντας κρίσιμες υποδομές σε ολόκληρη τη Βόρεια Αμερική, την Ευρώπη και την Αυστραλία. Συγκεκριμένα, οι θυγατρικές της Black Basta έχουν εκμεταλλευτεί ευπάθειες όπως το CVE-2024-1709 , ένα κρίσιμο ελάττωμα του ConnectWise ScreenConnect, για να αποκτήσουν αρχική πρόσβαση στα δίκτυα των θυμάτων.

Μόλις μπουν μέσα, χρησιμοποιούν διάφορα εργαλεία για απομακρυσμένη πρόσβαση, σάρωση δικτύου και εξαγωγή δεδομένων, συμπεριλαμβανομένων των SoftPerfect, PsExec και Mimikatz. Είναι επίσης γνωστό ότι εκμεταλλεύονται ευπάθειες όπως το ZeroLogon και το PrintNightmare για κλιμάκωση των προνομίων, καθώς και ότι αξιοποιούν το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) για πλευρική κίνηση. Επιπλέον, η ανάπτυξη του εργαλείου Backstab για την απενεργοποίηση των λύσεων εντοπισμού και απόκρισης τελικού σημείου (EDR) προσθέτει στην πολυπλοκότητα των επιθέσεων τους.

Για να εμποδίσουν τις προσπάθειες ανάκτησης, οι εισβολείς διαγράφουν σκιώδη αντίγραφα τόμου προτού κρυπτογραφήσουν παραβιασμένα συστήματα και αφήσουν πίσω τους ένα σημείωμα λύτρων. Ως απάντηση σε αυτές τις απειλές, κυβερνητικές υπηρεσίες όπως η CISA, το FBI, το HHS και το MS-ISAC έχουν εκδώσει ειδοποιήσεις που περιγράφουν λεπτομερώς τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) του Black Basta, μαζί με δείκτες συμβιβασμού (IoC) και συνιστώμενους μετριασμούς.

Ιδιαίτερα ευάλωτοι είναι οι οργανισμοί υγειονομικής περίθαλψης λόγω του μεγέθους τους, της τεχνολογικής τους εξάρτησης και της πρόσβασης σε προσωπικές πληροφορίες υγείας. Αναγνωρίζοντας αυτό, οι προαναφερθέντες φορείς προτρέπουν όλες τις οντότητες υποδομής ζωτικής σημασίας, ιδιαίτερα εκείνες στον τομέα της υγειονομικής περίθαλψης, να εφαρμόσουν συνιστώμενους μετριασμούς για να μειώσουν τον κίνδυνο συμβιβασμού από επιθέσεις Black Basta και παρόμοιων ransomware.

Παρά τις προκλήσεις που θέτουν τέτοιες επιθέσεις, έχουν γίνει προσπάθειες για να βοηθηθούν τα θύματα. Τον Ιανουάριο του 2024, η SRLabs κυκλοφόρησε έναν δωρεάν αποκρυπτογραφητή για να βοηθήσει τα θύματα του Black Basta να ανακτήσουν τα δεδομένα τους χωρίς να υποκύψουν στις απαιτήσεις για λύτρα. Τέτοιες προσπάθειες λειτούργησαν για ορισμένα θύματα της απειλής, αλλά πολλοί χρειάστηκε να χρησιμοποιήσουν πόρους κατά του κακόβουλου λογισμικού για να απαλλάξουν το σύστημά τους από τη δυσάρεστη απειλή κακόβουλου λογισμικού, εκτός από άλλες παρόμοιες απειλές. Τέτοιες πρωτοβουλίες υπογραμμίζουν τη συνεργατική προσέγγιση που απαιτείται για την αποτελεσματική καταπολέμηση των επιθετικών απειλών ransomware.