Атаки программы-вымогателя Black Basta затронули более 500 организаций по всему миру

Глобальное воздействие атак Black Basta Rnsomware было огромным: более 500 организаций стали жертвами этой угрожающей деятельности. Эта группа, выявленная с апреля 2022 года, действует в рамках модели «программы-вымогатели как услуга» (RaaS), в которой ее филиалы выполняют кибератаки от имени группы, нацеленные на критическую инфраструктуру в Северной Америке, Европе и Австралии. Примечательно, что филиалы Black Basta использовали такие уязвимости, как CVE-2024-1709 , критический недостаток ConnectWise ScreenConnect, для получения первоначального доступа к сетям жертвы.

Оказавшись внутри, они используют различные инструменты для удаленного доступа, сканирования сети и кражи данных, включая SoftPerfect, PsExec и Mimikatz. Также известно, что они используют такие уязвимости, как ZeroLogon и PrintNightmare, для повышения привилегий, а также используют протокол удаленного рабочего стола (RDP) для горизонтального перемещения. Кроме того, использование инструмента Backstab для отключения решений по обнаружению и реагированию на конечные точки (EDR) делает их атаки еще более изощренными.

Чтобы затруднить восстановление, злоумышленники удаляют теневые копии томов, прежде чем зашифровать скомпрометированные системы и оставить после себя записку о выкупе. В ответ на эти угрозы правительственные учреждения, такие как CISA, ФБР, HHS и MS-ISAC, выпустили предупреждения с подробным описанием тактики, методов и процедур Black Basta (TTP), а также индикаторов компрометации (IoC) и рекомендуемых мер по смягчению последствий.

Особенно уязвимы организации здравоохранения из-за их размера, технологической зависимости и доступа к личной медицинской информации. Признавая это, вышеупомянутые агентства призывают все субъекты критической инфраструктуры, особенно те, которые работают в секторе здравоохранения, реализовать рекомендуемые меры по снижению риска компрометации со стороны Black Basta и аналогичных атак программ-вымогателей.

Несмотря на проблемы, связанные с такими нападениями, предпринимались усилия по оказанию помощи жертвам. В январе 2024 года SRLabs выпустила бесплатный дешифратор, призванный помочь жертвам Black Basta восстановить свои данные, не поддаваясь требованиям выкупа. Такие усилия сработали для некоторых жертв угрозы, но многим пришлось использовать ресурсы защиты от вредоносного ПО, чтобы избавить свою систему от неприятной угрозы вредоносного ПО в дополнение к другим подобным угрозам. Подобные инициативы подчеркивают совместный подход, необходимый для эффективной борьбы с агрессивными угрозами программ-вымогателей.