Napadi Black Basta Ransomwarea pogodili su više od 500 organizacija diljem svijeta

Globalni utjecaj napada Black Basta Rnsomware bio je golem, s više od 500 organizacija koje su postale žrtve ove prijeteće aktivnosti. Ova grupa, identificirana od travnja 2022., djeluje unutar modela ransomware-as-a-service (RaaS), gdje podružnice izvode kibernetičke napade u ime grupe, ciljajući na kritičnu infrastrukturu diljem Sjeverne Amerike, Europe i Australije. Primjetno je da su podružnice Black Basta iskoristile ranjivosti poput CVE-2024-1709 , kritičnu grešku ConnectWise ScreenConnect, kako bi dobile početni pristup mrežama žrtava.

Kad uđu unutra, koriste razne alate za daljinski pristup, mrežno skeniranje i ekstrakciju podataka, uključujući SoftPerfect, PsExec i Mimikatz. Također je poznato da iskorištavaju ranjivosti kao što su ZeroLogon i PrintNightmare za eskalaciju privilegija, kao i korištenje Remote Desktop Protocol (RDP) za bočno kretanje. Dodatno, implementacija alata Backstab za onemogućavanje rješenja za otkrivanje i odgovor krajnje točke (EDR) pridonosi sofisticiranosti njihovih napada.

Kako bi spriječili napore oporavka, napadači brišu kopije u sjeni volumena prije nego što kriptiraju kompromitirane sustave i za sobom ostave poruku o otkupnini. Kao odgovor na ove prijetnje, vladine agencije poput CISA-e, FBI-a, HHS-a i MS-ISAC-a izdale su upozorenja s detaljima o taktikama, tehnikama i procedurama Black Baste (TTP), zajedno s pokazateljima kompromisa (IoC) i preporučenim mjerama ublažavanja.

Osobito su ranjive zdravstvene organizacije zbog svoje veličine, tehnološke ovisnosti i pristupa osobnim zdravstvenim podacima. Prepoznajući to, gore spomenute agencije pozivaju sve subjekte kritične infrastrukture, posebno one u zdravstvenom sektoru, da provedu preporučene mjere ublažavanja kako bi se smanjio rizik od ugrožavanja od Black Basta i sličnih ransomware napada.

Unatoč izazovima koje predstavljaju takvi napadi, bilo je napora da se žrtvama pomogne. U siječnju 2024. SRLabs je izdao besplatni dekriptor za pomoć žrtvama Black Basta u oporavku podataka bez podlijeganja zahtjevima za otkupninom. Takvi su napori upalili kod nekih žrtava prijetnje, no od mnogih se tražilo da iskoriste sredstva protiv zlonamjernog softvera kako bi svoj sustav oslobodili neugodne prijetnje zlonamjernog softvera, uz druge slične prijetnje. Takve inicijative naglašavaju suradnički pristup potreban za učinkovitu borbu protiv agresivnih prijetnji ransomwarea.