Black Basta Ransomware uzbrukumi skāruši vairāk nekā 500 organizācijas visā pasaulē

Black Basta Rnsomware uzbrukumu globālā ietekme ir bijusi milzīga, un vairāk nekā 500 organizāciju ir kļuvušas par šīs draudīgās darbības upuriem. Šī grupa, kas ir identificēta kopš 2022. gada aprīļa, darbojas saskaņā ar ransomware-as-a-service (RaaS) modeli, kurā saistītie uzņēmumi grupas vārdā veic kiberuzbrukumus, mērķējot uz kritisko infrastruktūru visā Ziemeļamerikā, Eiropā un Austrālijā. Jo īpaši Black Basta saistītie uzņēmumi ir izmantojuši ievainojamības, piemēram, CVE-2024-1709 , kritisku ConnectWise ScreenConnect trūkumu, lai iegūtu sākotnējo piekļuvi upuru tīkliem.

Atrodoties iekšā, tie izmanto dažādus rīkus attālai piekļuvei, tīkla skenēšanai un datu eksfiltrācijai, tostarp SoftPerfect, PsExec un Mimikatz. Ir zināms, ka tie izmanto arī ievainojamības, piemēram, ZeroLogon un PrintNightmare , lai palielinātu privilēģijas, kā arī izmanto attālās darbvirsmas protokolu (RDP) sānu kustībai. Turklāt Backstab rīka izvietošana, lai atspējotu galapunktu noteikšanas un reaģēšanas (EDR) risinājumus, palielina to uzbrukumu sarežģītību.

Lai kavētu atkopšanas centienus, uzbrucēji izdzēš sējuma ēnu kopijas, pirms tiek šifrētas apdraudētas sistēmas un atstāta izpirkuma piezīme. Reaģējot uz šiem draudiem, valdības aģentūras, piemēram, CISA, FBI, HHS un MS-ISAC, ir izdevušas brīdinājumus, sīki aprakstot Black Basta taktiku, paņēmienus un procedūras (TTP), kā arī kompromisa rādītājus (IoC) un ieteicamos mazināšanas pasākumus.

Īpaši neaizsargātas ir veselības aprūpes organizācijas to lieluma, tehnoloģiskās atkarības un piekļuves personas veselības informācijai dēļ. Atzīstot to, iepriekš minētās aģentūras mudina visas kritiskās infrastruktūras struktūras, īpaši tās, kas darbojas veselības aprūpes nozarē, ieviest ieteicamos mazināšanas pasākumus, lai samazinātu Black Basta un līdzīgu izspiedējvīrusu uzbrukumu risku.

Neskatoties uz izaicinājumiem, ko rada šādi uzbrukumi, ir bijuši centieni palīdzēt upuriem. 2024. gada janvārī SRLabs izlaida bezmaksas atšifrētāju, lai palīdzētu Black Basta upuriem atgūt savus datus, nepakļaujoties izpirkuma prasībām. Šādi centieni ir palīdzējuši dažiem apdraudējuma upuriem, taču daudziem ir bijis jāizmanto pretļaunprogrammatūras resursi, lai atbrīvotu savu sistēmu no šķebinošas ļaunprātīgas programmatūras draudiem papildus citiem līdzīgiem draudiem. Šādas iniciatīvas izceļ sadarbības pieeju, kas nepieciešama, lai efektīvi cīnītos pret agresīviem izpirkuma programmatūras draudiem.