Black Basta Ransomware -hyökkäykset ovat kohdanneet yli 500 organisaatiota ympäri maailmaa

Black Basta Rnsomware -hyökkäysten maailmanlaajuinen vaikutus on ollut valtava, ja yli 500 organisaatiota on joutunut tämän uhkaavan toiminnan uhriksi. Tämä huhtikuusta 2022 lähtien tunnistettu ryhmä toimii ransomware-as-a-service (RaaS) -mallissa, jossa tytäryhtiöt suorittavat kyberhyökkäyksiä ryhmän puolesta ja kohdistuvat kriittiseen infrastruktuuriin Pohjois-Amerikassa, Euroopassa ja Australiassa. Erityisesti Black Bastan tytäryhtiöt ovat hyödyntäneet haavoittuvuuksia, kuten CVE-2024-1709 , kriittistä ConnectWise ScreenConnect -virhettä saadakseen ensimmäisen pääsyn uhriverkkoihin.

Sisään päästyään he käyttävät erilaisia työkaluja etäkäyttöön, verkkoskannaukseen ja tietojen suodattamiseen, mukaan lukien SoftPerfect, PsExec ja Mimikatz. Niiden tiedetään myös hyödyntävän haavoittuvuuksia, kuten ZeroLogon ja PrintNightmare oikeuksien laajentamiseen sekä Remote Desktop Protocol (RDP) -protokollaa sivuttaisliikenteeseen. Lisäksi Backstab-työkalun käyttöönotto päätepisteiden tunnistus- ja vastausratkaisujen (EDR) poistamiseksi käytöstä lisää heidän hyökkäyksiensä hienostuneisuutta.

Palautuspyrkimysten estämiseksi hyökkääjät poistavat volyymin varjokopiot ennen kuin he salaavat vaarantuneet järjestelmät ja jättävät jälkeensä lunnaita. Vastauksena näihin uhkiin valtion virastot, kuten CISA, FBI, HHS ja MS-ISAC, ovat antaneet hälytyksiä, joissa kerrotaan yksityiskohtaisesti Black Bastan taktiikat, tekniikat ja menettelyt (TTP) sekä kompromissiindikaattoreita (IoC) ja suositeltuja lievennyksiä.

Erityisen haavoittuvia ovat terveydenhuollon organisaatiot koon, teknologisen riippuvuuden ja henkilökohtaisten terveystietojen saatavuuden vuoksi. Tämän tiedostaen edellä mainitut virastot kehottavat kaikkia kriittisen infrastruktuurin toimijoita, erityisesti terveydenhuollon alalla toimivia, ottamaan käyttöön suositeltuja lievennyksiä Black Bastan ja vastaavien kiristysohjelmahyökkäysten aiheuttaman kompromissiriskin vähentämiseksi.

Tällaisten hyökkäysten aiheuttamista haasteista huolimatta uhreja on yritetty auttaa. Tammikuussa 2024 SRLabs julkaisi ilmaisen salauksenpurkuohjelman auttaakseen Black Bastan uhreja palauttamaan tietonsa ilman, että he joutuisivat lunnaita koskeviin vaatimuksiin. Tällaiset ponnistelut ovat toimineet joidenkin uhan uhrien kohdalla, mutta monet ovat joutuneet käyttämään haittaohjelmien torjuntaresursseja vapauttaakseen järjestelmänsä ikävästä haittaohjelmauhkasta muiden vastaavien uhkien lisäksi. Tällaiset aloitteet korostavat yhteistoimintaa, jota tarvitaan aggressiivisten kiristysohjelmauhkien tehokkaaseen torjumiseen.