Útoky ransomvéru Black Basta zasiahli viac ako 500 organizácií po celom svete

Globálny dopad útokov Black Basta Rnsomware bol obrovský a viac ako 500 organizácií sa stalo obeťou tejto hrozivej aktivity. Táto skupina, identifikovaná od apríla 2022, funguje v rámci modelu ransomware-as-a-service (RaaS), kde pridružené spoločnosti vykonávajú kybernetické útoky v mene skupiny zamerané na kritickú infraštruktúru v Severnej Amerike, Európe a Austrálii. Najmä pridružené spoločnosti Black Basta využili zraniteľné miesta, ako je CVE-2024-1709 , kritická chyba ConnectWise ScreenConnect, aby získali počiatočný prístup k sieťam obetí.

Keď sú vo vnútri, využívajú rôzne nástroje na vzdialený prístup, sieťové skenovanie a exfiltráciu údajov, vrátane SoftPerfect, PsExec a Mimikatz. Je tiež známe, že využívajú zraniteľné miesta, ako sú ZeroLogon a PrintNightmare na eskaláciu privilégií, ako aj využívajú protokol RDP (Remote Desktop Protocol) na bočný pohyb. Navyše, nasadenie nástroja Backstab na deaktiváciu riešení detekcie a odozvy koncových bodov (EDR) pridáva na sofistikovanosti ich útokov.

Aby útočníci zabránili úsiliu o obnovu, pred zašifrovaním napadnutých systémov odstránia tieňové kópie zväzku a zanechajú za sebou výkupné. V reakcii na tieto hrozby vydali vládne agentúry ako CISA, FBI, HHS a MS-ISAC výstrahy, ktoré podrobne uvádzajú taktiku, techniky a postupy (TTP) spoločnosti Black Basta spolu s indikátormi kompromisu (IoC) a odporúčanými opatreniami na zmiernenie.

Obzvlášť zraniteľné sú zdravotnícke organizácie kvôli ich veľkosti, technologickej závislosti a prístupu k osobným zdravotným informáciám. Vyššie uvedené agentúry si to uvedomujú a vyzývajú všetky subjekty kritickej infraštruktúry, najmä tie v sektore zdravotníctva, aby zaviedli odporúčané opatrenia na zníženie rizika kompromitácie útokov Black Basta a podobných ransomvérových útokov.

Napriek problémom, ktoré takéto útoky predstavujú, existuje úsilie na pomoc obetiam. V januári 2024 spoločnosť SRLabs vydala bezplatný dešifrovací nástroj, ktorý má pomôcť obetiam Black Basta pri obnove ich údajov bez toho, aby podľahli požiadavkám na výkupné. Takéto úsilie sa osvedčilo niektorým obetiam hrozby, no mnohé z nich museli okrem iných podobných hrozieb využiť prostriedky na ochranu pred škodlivým softvérom, aby zbavili svoj systém nepríjemnej hrozby škodlivého softvéru. Takéto iniciatívy zdôrazňujú prístup spolupráce potrebný na účinný boj proti agresívnym hrozbám ransomvéru.