A Black Basta Ransomware támadások több mint 500 szervezetet sújtottak világszerte

A Black Basta Rnsomware támadások globális hatása hatalmas volt, és több mint 500 szervezet esett áldozatul ennek a fenyegető tevékenységnek. Ez a 2022 áprilisa óta azonosított csoport a ransomware-as-a-service (RaaS) modellen belül működik, ahol a leányvállalatok a csoport nevében hajtanak végre kibertámadásokat, amelyek a kritikus infrastruktúrákat célozzák meg Észak-Amerikában, Európában és Ausztráliában. Nevezetesen, a Black Basta leányvállalatai kihasználták az olyan sebezhetőségeket, mint a CVE-2024-1709 , amely a ConnectWise ScreenConnect kritikus hibája, hogy kezdeti hozzáférést kapjanak az áldozathálózatokhoz.

A bejutást követően különféle eszközöket használnak a távoli eléréshez, a hálózati szkenneléshez és az adatok kiszűréséhez, beleértve a SoftPerfect-et, a PsExec-et és a Mimikatz-et. Köztudottan olyan sebezhetőségeket is kihasználnak, mint a ZeroLogon és a PrintNightmare a privilégiumok kiterjesztésére, valamint a Remote Desktop Protocol (RDP) oldalirányú mozgásra. Ezenkívül a Backstab eszköz telepítése a végpont-észlelési és válaszadási (EDR) megoldások letiltására tovább növeli a támadások kifinomultságát.

A helyreállítási erőfeszítések akadályozása érdekében a támadók törlik a kötet árnyékmásolatait, mielőtt titkosítanák a feltört rendszereket, és váltságdíjat hagynának hátra. Válaszul ezekre a fenyegetésekre az olyan kormányzati szervek, mint a CISA, az FBI, a HHS és az MS-ISAC, riasztásokat adtak ki, amelyek részletezik a Black Basta taktikáját, technikáit és eljárásait (TTP), valamint a kompromisszummutatókat (IoC) és az ajánlott mérsékléseket.

Különösen kiszolgáltatottak az egészségügyi szervezetek méretük, technológiai függőségük és a személyes egészségügyi információkhoz való hozzáférésük miatt. Ezt felismerve a fent említett ügynökségek minden kritikus infrastruktúrával foglalkozó szervezetet, különösen az egészségügyi szektorban dolgozókat arra kérik, hogy hajtsanak végre javasolt mérsékléseket a Black Basta és hasonló ransomware támadások által okozott kompromittálás kockázatának csökkentése érdekében.

Az ilyen támadások jelentette kihívások ellenére történtek erőfeszítések az áldozatok megsegítésére. 2024 januárjában az SRLabs kiadott egy ingyenes visszafejtőt, hogy segítsen a Black Basta áldozatainak visszaszerezni adataikat anélkül, hogy engednének a váltságdíj követeléseinek. Az ilyen erőfeszítések beváltak a fenyegetés egyes áldozatainál, de sokuknak kártevő-elhárító erőforrásokat kellett használniuk, hogy megszabadítsák rendszerüket a rosszindulatú kártevőktől, más hasonló fenyegetések mellett. Az ilyen kezdeményezések kiemelik az együttműködésen alapuló megközelítést, amely az agresszív ransomware fenyegetések hatékony leküzdéséhez szükséges.