„Black Basta Ransomware“ atakos užklupo daugiau nei 500 organizacijų visame pasaulyje

Pasaulinis Black Basta Rnsomware atakų poveikis buvo didžiulis, daugiau nei 500 organizacijų tapo šios grėsmingos veiklos aukomis. Ši grupė, nustatyta nuo 2022 m. balandžio mėn., veikia pagal „ransomware-as-a-service“ (RaaS) modelį, kai filialai grupės vardu vykdo kibernetines atakas, nukreiptas į kritinę infrastruktūrą visoje Šiaurės Amerikoje, Europoje ir Australijoje. Pažymėtina, kad „Black Basta“ filialai išnaudojo pažeidžiamumą, pvz., CVE-2024-1709 , kritinį „ConnectWise ScreenConnect“ trūkumą, kad gautų pradinę prieigą prie aukų tinklų.

Patekę į vidų, jie naudoja įvairius nuotolinės prieigos, tinklo nuskaitymo ir duomenų išfiltravimo įrankius, įskaitant SoftPerfect, PsExec ir Mimikatz. Taip pat žinoma, kad jie išnaudoja pažeidžiamumą, pvz., „ZeroLogon“ ir „PrintNightmare“ , kad padidintų privilegijas, taip pat pasitelkia nuotolinio darbalaukio protokolą (RDP) judėjimui į šoną. Be to, „Backstab“ įrankio, skirto išjungti galinių taškų aptikimo ir atsako (EDR) sprendimus, diegimas padidina jų atakų sudėtingumą.

Siekdami sutrukdyti atkūrimo pastangoms, užpuolikai ištrina šešėlines kopijas prieš užšifruodami pažeistas sistemas ir palikdami išpirkos raštelį. Reaguodamos į šias grėsmes, vyriausybinės agentūros, tokios kaip CISA, FTB, HHS ir MS-ISAC, išleido įspėjimus, kuriuose išsamiai aprašoma Black Basta taktika, metodai ir procedūros (TTP), taip pat kompromiso rodikliai (IoC) ir rekomenduojamos švelninimo priemonės.

Ypač pažeidžiamos sveikatos priežiūros organizacijos dėl savo dydžio, technologinės priklausomybės ir galimybės gauti informaciją apie asmeninę sveikatą. Pripažindamos tai, minėtos agentūros ragina visus ypatingos svarbos infrastruktūros objektus, ypač dirbančius sveikatos priežiūros sektoriuje, įgyvendinti rekomenduojamas švelninimo priemones, kurios sumažintų „Black Basta“ ir panašių išpirkos reikalaujančių atakų riziką.

Nepaisant tokių išpuolių keliamų iššūkių, buvo stengiamasi padėti aukoms. 2024 m. sausio mėn. SRLabs išleido nemokamą iššifravimo priemonę, kad padėtų Black Basta aukoms susigrąžinti savo duomenis nepasiduodant išpirkos reikalavimams. Tokios pastangos pasiteisino kai kurioms grėsmės aukoms, tačiau daugelis jų turėjo panaudoti apsaugos nuo kenkėjiškų programų išteklius, kad pašalintų savo sistemą nuo bjaurios kenkėjiškų programų grėsmės, be kitų panašių grėsmių. Tokios iniciatyvos pabrėžia bendradarbiavimo metodą, reikalingą veiksmingai kovoti su agresyviomis išpirkos programinės įrangos grėsmėmis.