Black Basta 랜섬웨어 공격으로 전 세계 500개 이상의 조직 공격

Black Basta Rnsomware 공격이 전 세계적으로 미치는 영향은 엄청났으며 500개 이상의 조직이 이 위협 활동의 희생양이 되었습니다. 2022년 4월부터 확인된 이 그룹은 RaaS(Ransomware-as-a-Service) 모델 내에서 운영됩니다. 이 모델에서는 계열사가 그룹을 대신하여 북미, 유럽 및 호주의 중요 인프라를 대상으로 사이버 공격을 실행합니다. 특히 Black Basta 계열사는 중요한 ConnectWise ScreenConnect 결함인 CVE-2024-1709 와 같은 취약점을 악용하여 피해자 네트워크에 대한 초기 액세스 권한을 얻었습니다.

내부로 들어가면 SoftPerfect, PsExec 및 Mimikatz를 포함한 원격 액세스, 네트워크 검색 및 데이터 추출을 위한 다양한 도구를 활용합니다. 또한 권한 상승을 위해 ZeroLogon 및 PrintNightmare 와 같은 취약점을 악용하고 측면 이동을 위해 RDP(원격 데스크톱 프로토콜)를 활용하는 것으로 알려져 있습니다. 또한 EDR(엔드포인트 탐지 및 대응) 솔루션을 비활성화하는 Backstab 도구를 배포하면 공격이 더욱 정교해집니다.

복구 노력을 방해하기 위해 공격자는 손상된 시스템을 암호화하고 몸값 메모를 남기기 전에 볼륨 섀도 복사본을 삭제합니다. 이러한 위협에 대응하여 CISA, FBI, HHS 및 MS-ISAC와 같은 정부 기관은 IoC(침해 지표) 및 권장 완화 방법과 함께 Black Basta의 전술, 기술 및 절차(TTP)를 자세히 설명하는 경고를 발행했습니다.

규모, 기술 의존성, 개인 건강 정보에 대한 접근으로 인해 의료 기관이 특히 취약합니다. 앞서 언급한 기관은 이를 인식하여 모든 중요 인프라 기관, 특히 의료 부문의 기관에 Black Basta 및 유사한 랜섬웨어 공격으로 인한 손상 위험을 줄이기 위해 권장되는 완화 조치를 구현할 것을 촉구합니다.

그러한 공격으로 인한 어려움에도 불구하고 피해자를 돕기 위한 노력이 있어 왔습니다. 2024년 1월, SRLabs는 Black Basta 피해자가 몸값 요구에 굴복하지 않고 데이터를 복구할 수 있도록 지원하는 무료 암호 해독기를 출시했습니다. 이러한 노력은 위협의 일부 피해자에게 효과가 있었지만 많은 사람들은 다른 유사한 위협 외에도 악성 맬웨어 위협으로부터 시스템을 제거하기 위해 맬웨어 방지 리소스를 활용해야 했습니다. 이러한 이니셔티브는 공격적인 랜섬웨어 위협에 효과적으로 대처하는 데 필요한 협업적 접근 방식을 강조합니다.