Атаки програм-вимагачів Black Basta вразили понад 500 організацій по всьому світу

Глобальні наслідки атак Black Basta Rnsomware були величезними: понад 500 організацій стали жертвами цієї загрозливої діяльності. Ця група, ідентифікована з квітня 2022 року, працює в рамках моделі програм-вимагачів як послуги (RaaS), де афілійовані особи здійснюють кібератаки від імені групи, націлюючись на критичну інфраструктуру в Північній Америці, Європі та Австралії. Примітно, що афілійовані особи Black Basta використовували такі вразливості, як CVE-2024-1709 , критична вада ConnectWise ScreenConnect, щоб отримати початковий доступ до мереж-жертв.

Опинившись усередині, вони використовують різні інструменти для віддаленого доступу, сканування мережі та викрадання даних, зокрема SoftPerfect, PsExec і Mimikatz. Відомо також, що вони використовують уразливості, такі як ZeroLogon і PrintNightmare, для підвищення привілеїв, а також використовують протокол віддаленого робочого стола (RDP) для бокового переміщення. Крім того, розгортання інструменту Backstab для вимкнення рішень для виявлення та реагування на кінцеві точки (EDR) додає складності їхнім атакам.

Щоб перешкодити відновленням, зловмисники видаляють тіньові копії томів перед тим, як шифрувати зламані системи та залишати записку про викуп. У відповідь на ці загрози державні установи, як-от CISA, FBI, HHS і MS-ISAC, випустили сповіщення з детальним описом тактики, методів і процедур (TTP) Black Basta, а також індикаторів компрометації (IoC) і рекомендованих заходів пом’якшення.

Особливо вразливими є організації охорони здоров’я через їх розмір, технологічну залежність і доступ до особистої інформації про здоров’я. Усвідомлюючи це, вищезазначені агентства закликають усі суб’єкти критичної інфраструктури, особливо в секторі охорони здоров’я, впроваджувати рекомендовані заходи пом’якшення, щоб зменшити ризик компрометації через Black Basta та подібні атаки програм-вимагачів.

Незважаючи на труднощі, пов’язані з такими нападами, були докладені зусилля для надання допомоги жертвам. У січні 2024 року SRLabs випустила безкоштовний дешифратор, щоб допомогти жертвам Black Basta відновити свої дані, не піддаючись вимогам викупу. Такі зусилля спрацювали для деяких жертв загрози, але багатьом довелося використовувати ресурси захисту від зловмисного програмного забезпечення, щоб позбавити свою систему від неприємної загрози зловмисного програмного забезпечення, а також інших подібних загроз. Такі ініціативи підкреслюють спільний підхід, необхідний для ефективної боротьби з агресивними загрозами-вимагачами.