Black Basta Ransomware-aanvallen troffen meer dan 500 organisaties over de hele wereld

De wereldwijde impact van de Black Basta Rnsomware-aanvallen is enorm geweest, waarbij meer dan 500 organisaties het slachtoffer zijn geworden van deze bedreigende activiteit. Deze groep, geïdentificeerd sinds april 2022, opereert binnen het ransomware-as-a-service (RaaS)-model, waarbij aangesloten partijen namens de groep cyberaanvallen uitvoeren, gericht op kritieke infrastructuur in Noord-Amerika, Europa en Australië. Met name Black Basta -filialen hebben kwetsbaarheden zoals CVE-2024-1709 , een kritieke ConnectWise ScreenConnect-fout, uitgebuit om initiële toegang te krijgen tot slachtoffernetwerken.

Eenmaal binnen gebruiken ze verschillende tools voor externe toegang, netwerkscannen en data-exfiltratie, waaronder SoftPerfect, PsExec en Mimikatz. Het is ook bekend dat ze kwetsbaarheden zoals ZeroLogon en PrintNightmare misbruiken voor escalatie van bevoegdheden, en ook Remote Desktop Protocol (RDP) gebruiken voor laterale verplaatsing. Bovendien draagt de inzet van de Backstab-tool om endpoint detectie en respons (EDR)-oplossingen uit te schakelen bij aan de verfijning van hun aanvallen.

Om herstelpogingen te belemmeren, verwijderen de aanvallers volumeschaduwkopieën voordat ze gecompromitteerde systemen coderen en een losgeldbriefje achterlaten. Als reactie op deze bedreigingen hebben overheidsinstanties zoals CISA, FBI, HHS en MS-ISAC waarschuwingen afgegeven waarin de tactieken, technieken en procedures van Black Basta (TTP's) worden beschreven, samen met indicatoren van compromissen (IoC's) en aanbevolen maatregelen.

Zorgorganisaties zijn bijzonder kwetsbaar vanwege hun omvang, technologische afhankelijkheid en toegang tot persoonlijke gezondheidsinformatie. De bovengenoemde instanties erkennen dit en dringen er bij alle kritieke infrastructuurentiteiten, vooral die in de gezondheidszorgsector, op aan om aanbevolen maatregelen te implementeren om het risico op compromissen door Black Basta en soortgelijke ransomware-aanvallen te verminderen.

Ondanks de uitdagingen die dergelijke aanvallen met zich meebrengen, zijn er pogingen ondernomen om de slachtoffers te helpen. In januari 2024 bracht SRLabs een gratis decryptor uit om Black Basta-slachtoffers te helpen hun gegevens te herstellen zonder te bezwijken voor losgeld. Dergelijke inspanningen hebben voor sommige slachtoffers van de dreiging gewerkt, maar velen moesten antimalwarebronnen gebruiken om hun systeem te ontdoen van de vervelende malwaredreiging, naast andere soortgelijke bedreigingen. Dergelijke initiatieven benadrukken de gezamenlijke aanpak die nodig is om agressieve ransomware-bedreigingen effectief te bestrijden.