Black Basta Ransomware-attacker drabbade över 500 organisationer runt om i världen

Den globala effekten av Black Basta Rnsomware-attackerna har varit enorm, med över 500 organisationer som fallit offer för denna hotfulla aktivitet. Denna grupp, som har identifierats sedan april 2022, verkar inom ransomware-as-a-service (RaaS)-modellen, där dotterbolag utför cyberattacker på uppdrag av gruppen, inriktade på kritisk infrastruktur i Nordamerika, Europa och Australien. Noterbart har Black Basta -filialer utnyttjat sårbarheter som CVE-2024-1709 , en kritisk ConnectWise ScreenConnect-brist, för att få första åtkomst till offernätverk.

Väl inne använder de olika verktyg för fjärråtkomst, nätverksskanning och dataexfiltrering, inklusive SoftPerfect, PsExec och Mimikatz. De är också kända för att utnyttja sårbarheter som ZeroLogon och PrintNightmare för privilegieskalering, samt att utnyttja Remote Desktop Protocol (RDP) för sidorörelse. Utplaceringen av Backstab-verktyget för att inaktivera endpointdetection and response (EDR)-lösningar bidrar dessutom till sofistikeringen av deras attacker.

För att hindra återställningsarbetet tar angriparna bort volymskuggkopior innan de krypterar komprometterade system och lämnar efter sig en lösennota. Som svar på dessa hot har statliga myndigheter som CISA, FBI, HHS och MS-ISAC utfärdat varningar som beskriver Black Bastas taktik, tekniker och procedurer (TTP), tillsammans med indikatorer på kompromiss (IoCs) och rekommenderade begränsningar.

Särskilt utsatta är vårdorganisationer på grund av deras storlek, tekniska beroende och tillgång till personlig hälsoinformation. De ovannämnda myndigheterna inser detta och uppmanar alla kritiska infrastrukturenheter, särskilt de inom hälso- och sjukvårdssektorn, att implementera rekommenderade begränsningar för att minska risken för kompromisser från Black Basta och liknande attacker mot ransomware.

Trots de utmaningar som sådana attacker innebär har det gjorts ansträngningar för att hjälpa offren. I januari 2024 släppte SRLabs en gratis dekryptering för att hjälpa Black Basta-offer att återställa sina data utan att ge efter för krav på lösen. Sådana ansträngningar har fungerat för vissa offer för hotet, men många har krävts att använda anti-malware-resurser för att befria sitt system från det otäcka malware-hotet, förutom andra liknande hot. Sådana initiativ lyfter fram det samarbetssätt som behövs för att effektivt bekämpa aggressiva ransomware-hot.