Os Ataques do Black Basta Ransomware Atingiram Mais de 500 Organizações em Todo o Mundo

O impacto global dos ataques do Black Basta Ransomware tem sido vasto, com mais de 500 organizações sendo vítimas dessa atividade maliciosa. Este grupo, identificado desde abril de 2022, opera dentro do modelo Ransomware-as-a-Service (RaaS), onde afiliados executam ataques cibernéticos em nome do grupo, visando infraestruturas críticas na América do Norte, Europa e Austrália. Notavelmente, os afiliados do Black Basta exploraram vulnerabilidades como CVE-2024-1709, uma falha crítica do ConnectWise ScreenConnect, para obter acesso inicial às redes das vítimas.

Uma vez lá dentro, eles utilizam várias ferramentas para acesso remoto, varredura de rede e exfiltração de dados, incluindo SoftPerfect, PsExec e Mimikatz. Eles também são conhecidos por explorar vulnerabilidades como o ZeroLogon e o PrintNightmare para escalonamento de privilégios, bem como aproveitar o Remote Desktop Protocol (RDP) para movimentação lateral. Além disso, a implantação da ferramenta Backstab para desabilitar soluções de detecção e resposta de endpoint (EDR) aumenta a sofisticação de seus ataques.

Para dificultar os esforços de recuperação, os invasores excluem cópias de sombra de volume antes de criptografar os sistemas comprometidos e deixar uma nota de resgate. Em resposta a estas ameaças, agências governamentais como CISA, FBI, HHS e MS-ISAC emitiram alertas detalhando as tácticas, técnicas e procedimentos (TTPs) de Black Basta, juntamente com indicadores de compromisso (IoCs) e mitigações recomendadas.

Particularmente vulneráveis são as organizações de saúde devido ao seu tamanho, dependência tecnológica e acesso a informações pessoais de saúde. Reconhecendo isto, as agências acima mencionadas instam todas as entidades de infra-estruturas críticas, especialmente as do sector da saúde, a implementarem as mitigações recomendadas para reduzir o risco de comprometimento do Black Basta e de ataques de ransomware semelhantes.

Apesar dos desafios colocados por tais ataques, têm havido esforços para ajudar as vítimas. Em janeiro de 2024, o SRLabs lançou um descriptografador gratuito para ajudar as vítimas de Black Basta a recuperar seus dados sem sucumbir aos pedidos de resgate. Esses esforços funcionaram para algumas vítimas da ameaça, mas muitas foram obrigadas a utilizar recursos antimalware para livrar seus sistemas da desagradável ameaça de malware, além de outras ameaças semelhantes. Tais iniciativas destacam a abordagem colaborativa necessária para combater eficazmente as ameaças agressivas de ransomware.