Black Basta Fidye Yazılımı Saldırıları Dünya Çapında 500'den Fazla Kuruluşu Etkiledi

Black Basta Rnsomware saldırılarının küresel etkisi çok büyük oldu; 500'den fazla kuruluş bu tehdit edici faaliyetin kurbanı oldu. Nisan 2022'den bu yana tanımlanan bu grup, bağlı şirketlerin grup adına siber saldırılar yürüttüğü ve Kuzey Amerika, Avrupa ve Avustralya'daki kritik altyapıları hedef alan hizmet olarak fidye yazılımı (RaaS) modeli kapsamında faaliyet gösteriyor. Özellikle Black Basta bağlı kuruluşları, kurban ağlarına ilk erişim sağlamak için kritik bir ConnectWise ScreenConnect kusuru olan CVE-2024-1709 gibi güvenlik açıklarından yararlandı.

İçeri girdikten sonra uzaktan erişim, ağ taraması ve veri sızdırma için SoftPerfect, PsExec ve Mimikatz gibi çeşitli araçları kullanıyorlar. Ayrıcalık yükseltme için ZeroLogon ve PrintNightmare gibi güvenlik açıklarından yararlandıkları ve yanal hareket için Uzak Masaüstü Protokolünden (RDP) yararlandıkları da biliniyor. Ek olarak, uç nokta algılama ve yanıt (EDR) çözümlerini devre dışı bırakmak için Backstab aracının konuşlandırılması, saldırılarının karmaşıklığını artırıyor.

Saldırganlar, kurtarma çabalarını engellemek için, tehlikeye atılan sistemleri şifrelemeden ve geride bir fidye notu bırakmadan önce birim gölge kopyalarını siler. Bu tehditlere yanıt olarak CISA, FBI, HHS ve MS-ISAC gibi devlet kurumları, Black Basta'nın taktiklerini, tekniklerini ve prosedürlerini (TTP'ler), uzlaşma göstergelerini (IoC'ler) ve önerilen hafifletme önlemlerini ayrıntılı olarak açıklayan uyarılar yayınladı.

Sağlık kuruluşları büyüklükleri, teknolojik bağımlılıkları ve kişisel sağlık bilgilerine erişimleri nedeniyle özellikle savunmasız durumda. Bunun bilincinde olan yukarıda adı geçen kurumlar, başta sağlık sektörü olmak üzere tüm kritik altyapı kuruluşlarını, Black Basta ve benzeri fidye yazılımı saldırılarından kaynaklanan riskleri azaltmak için önerilen hafifletici önlemleri uygulamaya çağırıyor.

Bu tür saldırıların yarattığı zorluklara rağmen mağdurlara yardım çabaları sürüyor. Ocak 2024'te SRLabs, Black Basta kurbanlarının fidye taleplerine boyun eğmeden verilerini kurtarmalarına yardımcı olacak ücretsiz bir şifre çözücü yayınladı. Bu tür çabalar tehdidin bazı kurbanlarında işe yaradı ancak birçoğunun, diğer benzer tehditlere ek olarak sistemlerini kötü amaçlı yazılım tehdidinden kurtarmak için kötü amaçlı yazılımdan koruma kaynaklarını kullanması gerekti. Bu tür girişimler, agresif fidye yazılımı tehditleriyle etkili bir şekilde mücadele etmek için gereken işbirlikçi yaklaşımın altını çiziyor.