Black Basta Ransomware-angrep rammet over 500 organisasjoner rundt om i verden

Den globale virkningen av Black Basta Rnsomware-angrepene har vært enorme, med over 500 organisasjoner som har blitt ofre for denne truende aktiviteten. Denne gruppen, identifisert siden april 2022, opererer innenfor ransomware-as-a-service (RaaS)-modellen, der tilknyttede selskaper utfører cyberangrep på vegne av gruppen, rettet mot kritisk infrastruktur over hele Nord-Amerika, Europa og Australia. Spesielt har Black Basta -tilknyttede selskaper utnyttet sårbarheter som CVE-2024-1709 , en kritisk ConnectWise ScreenConnect-feil, for å få første tilgang til offernettverk.

Når de er inne, bruker de forskjellige verktøy for ekstern tilgang, nettverksskanning og dataeksfiltrering, inkludert SoftPerfect, PsExec og Mimikatz. De er også kjent for å utnytte sårbarheter som ZeroLogon og PrintNightmare for rettighetsopptrapping, i tillegg til å utnytte Remote Desktop Protocol (RDP) for sideveis bevegelse. I tillegg bidrar utplasseringen av Backstab-verktøyet for å deaktivere endepunktsdeteksjon og -respons (EDR) løsninger til det sofistikerte angrepene deres.

For å hindre gjenopprettingsarbeidet sletter angriperne volumskyggekopier før de krypterer kompromitterte systemer og etterlater seg en løsepengenota. Som svar på disse truslene har offentlige etater som CISA, FBI, HHS og MS-ISAC utstedt varsler som beskriver Black Bastas taktikker, teknikker og prosedyrer (TTP), sammen med indikatorer på kompromiss (IoCs) og anbefalte avbøtende tiltak.

Spesielt sårbare er helseorganisasjoner på grunn av deres størrelse, teknologiske avhengighet og tilgang til personlig helseinformasjon. I erkjennelse av dette, oppfordrer de nevnte byråene alle kritiske infrastrukturenheter, spesielt de i helsesektoren, til å implementere anbefalte tiltak for å redusere risikoen for kompromisser fra Black Basta og lignende løsepengevareangrep.

Til tross for utfordringene med slike angrep, har det vært forsøk på å hjelpe ofre. I januar 2024 ga SRLabs ut en gratis dekryptering for å hjelpe Black Basta-ofre med å gjenopprette dataene deres uten å gi etter for krav om løsepenger. Slike anstrengelser har fungert for noen ofre for trusselen, men mange har blitt pålagt å bruke anti-malware-ressurser for å kvitte systemet med den ekle malware-trusselen, i tillegg til andre lignende trusler. Slike initiativ fremhever den samarbeidende tilnærmingen som trengs for å effektivt bekjempe aggressive løsepengevaretrusler.