Atacurile ransomware Black Basta au lovit peste 500 de organizații din întreaga lume

Impactul global al atacurilor Black Basta Rnsomware a fost vast, peste 500 de organizații fiind victime ale acestei activități amenințătoare. Acest grup, identificat din aprilie 2022, operează în cadrul modelului ransomware-as-a-service (RaaS), în care afiliații execută atacuri cibernetice în numele grupului, vizând infrastructura critică din America de Nord, Europa și Australia. În special, afiliații Black Basta au exploatat vulnerabilități precum CVE-2024-1709 , o defecțiune critică ConnectWise ScreenConnect, pentru a obține acces inițial la rețelele victimelor.

Odată înăuntru, ei folosesc diverse instrumente pentru acces la distanță, scanare în rețea și exfiltrare a datelor, inclusiv SoftPerfect, PsExec și Mimikatz. De asemenea, se știe că exploatează vulnerabilități precum ZeroLogon și PrintNightmare pentru escaladarea privilegiilor, precum și că folosesc protocolul Remote Desktop (RDP) pentru mișcarea laterală. În plus, implementarea instrumentului Backstab pentru a dezactiva soluțiile de detectare și răspuns la punctele finale (EDR) se adaugă la sofisticarea atacurilor acestora.

Pentru a împiedica eforturile de recuperare, atacatorii șterg copiile umbra de volum înainte de a cripta sistemele compromise și de a lăsa în urmă o notă de răscumpărare. Ca răspuns la aceste amenințări, agențiile guvernamentale precum CISA, FBI, HHS și MS-ISAC au emis alerte care detaliază tacticile, tehnicile și procedurile (TTP) ale Black Basta, împreună cu indicatorii de compromis (IoC) și măsurile de atenuare recomandate.

Deosebit de vulnerabile sunt organizațiile din domeniul sănătății datorită dimensiunii lor, dependenței tehnologice și accesului la informații personale despre sănătate. Recunoscând acest lucru, agențiile menționate mai sus îndeamnă toate entitățile cu infrastructură critică, în special cele din sectorul sănătății, să implementeze măsurile de atenuare recomandate pentru a reduce riscul de compromis din cauza atacurilor de tip ransomware Black Basta și similare.

În ciuda provocărilor prezentate de astfel de atacuri, au existat eforturi pentru a ajuta victimele. În ianuarie 2024, SRLabs a lansat un decriptor gratuit pentru a ajuta victimele Black Basta să-și recupereze datele fără a ceda cererilor de răscumpărare. Asemenea eforturi au funcționat pentru unele victime ale amenințării, dar multora li s-a cerut să utilizeze resurse anti-malware pentru a-și scăpa sistemul de amenințarea malware urâtă, pe lângă alte amenințări similare. Astfel de inițiative evidențiază abordarea colaborativă necesară pentru a combate eficient amenințările agresive de tip ransomware.