התקפות Black Basta Ransomware פגעו ביותר מ-500 ארגונים ברחבי העולם

ההשפעה הגלובלית של התקפות Black Basta Rnsomware הייתה עצומה, כאשר למעלה מ-500 ארגונים נפלו קורבן לפעילות מאיימת זו. קבוצה זו, שזוהתה מאז אפריל 2022, פועלת במסגרת מודל תוכנת הכופר כשירות (RaaS), שבו שותפים מבצעים התקפות סייבר בשם הקבוצה, מכוונות לתשתיות קריטיות ברחבי צפון אמריקה, אירופה ואוסטרליה. יש לציין כי שותפי Black Basta ניצלו נקודות תורפה כמו CVE-2024-1709 , פגם קריטי ב-ConnectWise ScreenConnect, כדי לקבל גישה ראשונית לרשתות הקורבנות.

כשהם נכנסים, הם משתמשים בכלים שונים לגישה מרחוק, סריקת רשת וחילוץ נתונים, כולל SoftPerfect, PsExec ו-Mimikatz. הם גם ידועים כמנצלים נקודות תורפה כגון ZeroLogon ו- PrintNightmare להסלמה של הרשאות, כמו גם ניצול פרוטוקול שולחן עבודה מרוחק (RDP) לתנועה לרוחב. בנוסף, הפריסה של הכלי Backstab להשבית פתרונות זיהוי ותגובה של נקודות קצה (EDR) מוסיפה לתחכום של ההתקפות שלהם.

כדי להפריע למאמצי השחזור, התוקפים מוחקים עותקי צל של נפח לפני שהצפינו מערכות שנפגעו ומשאירים מאחוריהם פתק כופר. בתגובה לאיומים הללו, סוכנויות ממשלתיות כמו CISA, FBI, HHS ו-MS-ISAC פרסמו התראות המפרטות את הטקטיקות, הטכניקות והנהלים של Black Basta (TTPs), יחד עם אינדיקטורים של פשרה (IoCs) והקלות מומלצות.

פגיעים במיוחד הם ארגוני בריאות בשל גודלם, התלות הטכנולוגית והגישה למידע בריאותי אישי. מתוך הכרה בכך, הסוכנויות הנ"ל דוחקות בכל גופי התשתית הקריטיים, במיוחד אלו בסקטור הבריאות, ליישם אמצעים מומלצים כדי להפחית את הסיכון לפשרה מ-Black Basta והתקפות דומות של תוכנות כופר.

למרות האתגרים שמציבים התקפות כאלה, היו מאמצים לסייע לקורבנות. בינואר 2024, SRLabs פרסמה מפענח בחינם כדי לסייע לקורבנות Black Basta לשחזר את הנתונים שלהם מבלי להיכנע לדרישות כופר. מאמצים כאלה עבדו עבור חלק מהקורבנות של האיום, אך רבים נדרשו להשתמש במשאבים נגד תוכנות זדוניות כדי להיפטר מהמערכת שלהם מאיום התוכנה הזדונית, בנוסף לאיומים דומים אחרים. יוזמות כאלה מדגישות את הגישה השיתופית הדרושה כדי להילחם ביעילות באיומי תוכנות כופר אגרסיביות.