Black Basta 勒索软件攻击袭击了全球 500 多家组织

Black Basta 勒索软件攻击的全球影响巨大，超过 500 个组织成为这一威胁活动的受害者。该组织自 2022 年 4 月被发现以来，一直采用勒索软件即服务 (RaaS) 模式运作，其关联组织代表该组织执行网络攻击，目标是北美、欧洲和澳大利亚的关键基础设施。值得注意的是， Black Basta关联组织利用了CVE-2024-1709等漏洞（一个关键的 ConnectWise ScreenConnect 漏洞）来获得对受害者网络的初始访问权限。

一旦进入系统，他们就会利用各种工具进行远程访问、网络扫描和数据泄露，包括 SoftPerfect、PsExec 和 Mimikatz。他们还会利用ZeroLogon和PrintNightmare等漏洞来提升权限，以及利用远程桌面协议 (RDP) 进行横向移动。此外，他们还会部署 Backstab 工具来禁用端点检测和响应 (EDR) 解决方案，这增加了攻击的复杂性。

为了阻碍恢复工作，攻击者会先删除卷影副本，然后加密受感染的系统并留下勒索信。为了应对这些威胁，CISA、FBI、HHS 和 MS-ISAC 等政府机构已发布警报，详细说明 Black Basta 的策略、技术和程序 (TTP)，以及入侵指标 (IoC) 和建议的缓解措施。

医疗保健机构由于规模、技术依赖性和对个人健康信息的访问权而特别容易受到攻击。认识到这一点，上述机构敦促所有关键基础设施实体，特别是医疗保健部门的实体，实施建议的缓解措施，以降低 Black Basta 和类似勒索软件攻击的风险。

尽管此类攻击带来了挑战，但仍有人努力帮助受害者。2024 年 1 月，SRLabs 发布了一款免费解密器，帮助 Black Basta 受害者在不屈服于赎金要求的情况下恢复数据。这些努力对一些威胁受害者起了作用，但许多人被要求利用反恶意软件资源来清除系统中的恶意恶意软件威胁以及其他类似威胁。这些举措凸显了有效对抗激进勒索软件威胁所需的协作方法。