Ataki ransomware Black Basta dotknęły ponad 500 organizacji na całym świecie

Globalny wpływ ataków Black Basta Rnsomware jest ogromny, a ofiarą tego groźnego działania padło ponad 500 organizacji. Grupa ta, identyfikowana od kwietnia 2022 r., działa w modelu oprogramowania ransomware jako usługi (RaaS), w którym podmioty stowarzyszone przeprowadzają w imieniu grupy cyberataki, których celem jest infrastruktura krytyczna w Ameryce Północnej, Europie i Australii. Warto zauważyć, że podmioty stowarzyszone Black Basta wykorzystały luki takie jak CVE-2024-1709 , krytyczna luka ConnectWise ScreenConnect, aby uzyskać początkowy dostęp do sieci ofiar.

Po wejściu do środka wykorzystują różne narzędzia do zdalnego dostępu, skanowania sieci i eksfiltracji danych, w tym SoftPerfect, PsExec i Mimikatz. Wiadomo również, że wykorzystują luki w zabezpieczeniach, takie jak ZeroLogon i PrintNightmare, do eskalacji uprawnień, a także wykorzystują protokół Remote Desktop Protocol (RDP) do ruchu bocznego. Ponadto wdrożenie narzędzia Backstab w celu wyłączenia rozwiązań do wykrywania i reagowania na punktach końcowych (EDR) zwiększa wyrafinowanie ich ataków.

Aby utrudnić odzyskanie danych, napastnicy usuwają kopie woluminów w tle przed zaszyfrowaniem zaatakowanych systemów i pozostawieniem notatki z żądaniem okupu. W odpowiedzi na te zagrożenia agencje rządowe, takie jak CISA, FBI, HHS i MS-ISAC, wydały alerty szczegółowo opisujące taktykę, techniki i procedury (TTP) Black Basta, wraz ze wskaźnikami kompromisu (IoC) i zalecanymi środkami zaradczymi.

Szczególnie narażone są organizacje opieki zdrowotnej ze względu na ich wielkość, zależność technologiczną i dostęp do osobistych informacji na temat zdrowia. Mając to na uwadze, wyżej wymienione agencje wzywają wszystkie podmioty infrastruktury krytycznej, zwłaszcza te w sektorze opieki zdrowotnej, do wdrożenia zalecanych środków zaradczych w celu zmniejszenia ryzyka naruszenia bezpieczeństwa w wyniku ataków Black Basta i podobnych ataków ransomware.

Pomimo wyzwań, jakie stwarzają takie ataki, podjęto wysiłki, aby pomóc ofiarom. W styczniu 2024 r. firma SRLabs udostępniła bezpłatny program odszyfrowujący, który ma pomóc ofiarom Black Basta w odzyskaniu danych bez ulegania żądaniom okupu. Takie wysiłki przyniosły skutek w przypadku niektórych ofiar zagrożenia, ale wiele z nich musiało wykorzystać zasoby chroniące przed złośliwym oprogramowaniem, aby pozbyć się z systemu paskudnego zagrożenia złośliwym oprogramowaniem oraz innych podobnych zagrożeń. Takie inicjatywy podkreślają podejście oparte na współpracy niezbędne do skutecznego zwalczania agresywnych zagrożeń oprogramowaniem ransomware.