Black Basta Ransomware โจมตีองค์กรกว่า 500 แห่งทั่วโลก

ผลกระทบทั่วโลกของการโจมตี Black Basta Rnsomware นั้นกว้างขวาง โดยมีองค์กรมากกว่า 500 องค์กรที่ตกเป็นเหยื่อของกิจกรรมคุกคามนี้ กลุ่มนี้ ซึ่งถูกระบุตั้งแต่เดือนเมษายน 2022 ดำเนินงานภายในโมเดลแรนซัมแวร์-as-a-service (RaaS) โดยที่บริษัทในเครือดำเนินการโจมตีทางไซเบอร์ในนามของกลุ่ม โดยกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานที่สำคัญทั่วอเมริกาเหนือ ยุโรป และออสเตรเลีย โดยเฉพาะอย่างยิ่ง บริษัทในเครือของ Black Basta ได้ใช้ประโยชน์จากช่องโหว่ เช่น CVE-2024-1709 ซึ่งเป็นข้อบกพร่องที่สำคัญของ ConnectWise ScreenConnect เพื่อเข้าถึงเครือข่ายของเหยื่อเป็นครั้งแรก

เมื่อเข้าไปข้างในแล้ว พวกเขาใช้เครื่องมือต่างๆ สำหรับการเข้าถึงระยะไกล การสแกนเครือข่าย และการกรองข้อมูล รวมถึง SoftPerfect, PsExec และ Mimikatz เป็นที่ทราบกันดีว่าใช้ประโยชน์จากช่องโหว่เช่น ZeroLogon และ PrintNightmare เพื่อยกระดับสิทธิ์ รวมถึงการใช้ประโยชน์จาก Remote Desktop Protocol (RDP) สำหรับการเคลื่อนไหวด้านข้าง นอกจากนี้ การปรับใช้เครื่องมือ Backstab เพื่อปิดใช้งานโซลูชันการตรวจจับและการตอบสนองปลายทาง (EDR) ยังช่วยเพิ่มความซับซ้อนในการโจมตีอีกด้วย

เพื่อขัดขวางความพยายามในการกู้คืน ผู้โจมตีจะลบ Shadow Copy ของวอลุ่มก่อนที่จะเข้ารหัสระบบที่ถูกบุกรุกและทิ้งบันทึกเรียกค่าไถ่ไว้ เพื่อตอบสนองต่อภัยคุกคามเหล่านี้ หน่วยงานรัฐบาล เช่น CISA, FBI, HHS และ MS-ISAC ได้ออกการแจ้งเตือนที่ให้รายละเอียดเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอน (TTP) ของ Black Basta พร้อมด้วยตัวบ่งชี้การประนีประนอม (IoC) และการบรรเทาที่แนะนำ

องค์กรด้านการดูแลสุขภาพที่มีความเสี่ยงเป็นพิเศษคือ เนื่องจากขนาดขององค์กร การพึ่งพาเทคโนโลยี และการเข้าถึงข้อมูลสุขภาพส่วนบุคคล เมื่อตระหนักถึงสิ่งนี้ หน่วยงานที่กล่าวมาข้างต้นจึงเรียกร้องให้หน่วยงานด้านโครงสร้างพื้นฐานที่สำคัญทั้งหมด โดยเฉพาะหน่วยงานในภาคการดูแลสุขภาพ ดำเนินการลดผลกระทบที่แนะนำเพื่อลดความเสี่ยงของการประนีประนอมจาก Black Basta และการโจมตีแรนซัมแวร์ที่คล้ายกัน

แม้จะมีความท้าทายจากการโจมตีดังกล่าว แต่ก็ยังมีความพยายามที่จะช่วยเหลือผู้ประสบภัย ในเดือนมกราคม ปี 2024 SRLabs ได้เปิดตัวตัวถอดรหัสฟรีเพื่อช่วยเหลือเหยื่อ Black Basta ในการกู้คืนข้อมูลโดยไม่ต้องยอมจำนนต่อการเรียกค่าไถ่ ความพยายามดังกล่าวได้ผลกับเหยื่อบางรายของภัยคุกคาม แต่หลายคนจำเป็นต้องใช้ทรัพยากรป้องกันมัลแวร์เพื่อกำจัดระบบของพวกเขาจากภัยคุกคามมัลแวร์ที่น่ารังเกียจ นอกเหนือจากภัยคุกคามอื่นๆ ที่คล้ายคลึงกัน ความคิดริเริ่มดังกล่าวเน้นย้ำถึงแนวทางการทำงานร่วมกันที่จำเป็นในการต่อสู้กับภัยคุกคามแรนซัมแวร์เชิงรุกอย่างมีประสิทธิภาพ