Black Basta 勒索軟體攻擊襲擊了全球 500 多個組織

Black Basta Rnsomware 攻擊的全球影響是巨大的，超過 500 個組織成為這項威脅活動的受害者。該組織自 2022 年 4 月起被識別，採用勒索軟體即服務 (RaaS) 模式運作，其附屬機構代表該組織執行網路攻擊，目標是北美、歐洲和澳洲的關鍵基礎設施。值得注意的是， Black Basta附屬公司利用CVE-2024-1709 （ConnectWise ScreenConnect 的關鍵缺陷）等漏洞來獲得對受害者網路的初始存取權。

一旦進入內部，他們就會利用各種工具進行遠端存取、網路掃描和資料洩露，包括 SoftPerfect、PsExec 和 Mimikatz。眾所周知，他們也利用ZeroLogon和PrintNightmare等漏洞進行權限升級，並利用遠端桌面協定 (RDP) 進行橫向移動。此外，部署 Backstab 工具來停用端點偵測和回應 (EDR) 解決方案也增加了攻擊的複雜度。

為了阻礙復原工作，攻擊者會在加密受感染的系統並留下勒索字條之前刪除影集副本。為了應對這些威脅，CISA、FBI、HHS 和 MS-ISAC 等政府機構已發布警報，詳細說明 Black Basta 的策略、技術和程序 (TTP)，以及妥協指標 (IoC) 和建議的緩解措施。

醫療保健組織由於其規模、技術依賴性和對個人健康資訊的獲取而特別容易受到影響。認識到這一點，上述機構敦促所有關鍵基礎設施實體，特別是醫療保健部門的實體，實施建議的緩解措施，以降低 Black Basta 和類似勒索軟體攻擊造成危害的風險。

儘管此類攻擊帶來了挑戰，但人們仍在努力援助受害者。 2024 年 1 月，SRLabs 發布了一款免費解密器，幫助 Black Basta 受害者恢復數據，而無需屈服於贖金要求。這些努力對一些威脅受害者起到了作用，但除了其他類似威脅之外，許多受害者還被要求利用反惡意軟體資源來消除其係統中令人討厭的惡意軟體威脅。此類舉措凸顯了有效對抗攻擊性勒索軟體威脅所需的協作方法。