Các cuộc tấn công ransomware Black Basta tấn công hơn 500 tổ chức trên toàn thế giới

Tác động toàn cầu của các cuộc tấn công Black Basta Rnsomware là rất lớn, với hơn 500 tổ chức trở thành nạn nhân của hoạt động đe dọa này. Nhóm này, được xác định từ tháng 4 năm 2022, hoạt động theo mô hình ransomware-as-a-service (RaaS), trong đó các chi nhánh thay mặt nhóm thực hiện các cuộc tấn công mạng, nhắm vào cơ sở hạ tầng quan trọng trên khắp Bắc Mỹ, Châu Âu và Úc. Đáng chú ý, các chi nhánh của Black Basta đã khai thác các lỗ hổng như CVE-2024-1709 , một lỗ hổng nghiêm trọng của ConnectWise ScreenConnect, để giành quyền truy cập ban đầu vào mạng nạn nhân.

Khi vào bên trong, họ sử dụng nhiều công cụ khác nhau để truy cập từ xa, quét mạng và lọc dữ liệu, bao gồm SoftPerfect, PsExec và Mimikatz. Họ cũng được biết là khai thác các lỗ hổng như ZeroLogon và PrintNightmare để leo thang đặc quyền, cũng như tận dụng Giao thức máy tính từ xa (RDP) để di chuyển ngang. Ngoài ra, việc triển khai công cụ Backstab để vô hiệu hóa các giải pháp phát hiện và phản hồi điểm cuối (EDR) sẽ làm tăng thêm độ phức tạp cho các cuộc tấn công của chúng.

Để cản trở nỗ lực khôi phục, kẻ tấn công xóa các bản sao bóng ổ đĩa trước khi mã hóa các hệ thống bị xâm nhập và để lại thông báo đòi tiền chuộc. Để đối phó với những mối đe dọa này, các cơ quan chính phủ như CISA, FBI, HHS và MS-ISAC đã đưa ra cảnh báo chi tiết về chiến thuật, kỹ thuật và quy trình (TTP) của Black Basta, cùng với các chỉ số xâm phạm (IoC) và các biện pháp giảm thiểu được đề xuất.

Đặc biệt dễ bị tổn thương là các tổ chức chăm sóc sức khỏe do quy mô, sự phụ thuộc vào công nghệ và khả năng tiếp cận thông tin sức khỏe cá nhân. Nhận thức được điều này, các cơ quan nói trên kêu gọi tất cả các đơn vị cơ sở hạ tầng quan trọng, đặc biệt là những đơn vị trong lĩnh vực chăm sóc sức khỏe, thực hiện các biện pháp giảm thiểu được khuyến nghị để giảm nguy cơ bị xâm phạm từ Black Basta và các cuộc tấn công ransomware tương tự.

Bất chấp những thách thức do các cuộc tấn công như vậy đặt ra, vẫn có những nỗ lực hỗ trợ nạn nhân. Vào tháng 1 năm 2024, SRLabs đã phát hành một bộ giải mã miễn phí để hỗ trợ các nạn nhân của Black Basta khôi phục dữ liệu của họ mà không phải khuất phục trước yêu cầu tiền chuộc. Những nỗ lực như vậy đã có tác dụng đối với một số nạn nhân của mối đe dọa nhưng nhiều người đã được yêu cầu sử dụng các tài nguyên chống phần mềm độc hại để loại bỏ hệ thống của họ khỏi mối đe dọa phần mềm độc hại khó chịu, bên cạnh các mối đe dọa tương tự khác. Những sáng kiến như vậy nêu bật cách tiếp cận hợp tác cần thiết để chống lại các mối đe dọa ransomware tích cực một cách hiệu quả.