A Black Basta kritikus infrastruktúrákat támad

Miután a bűnüldöző szervek felszámolták a Lockbit és az ALPHV (BlackCat) csoportokat, az FBI és a CISA a Black Basta-t azonosította, mint az új domináns ransomware-as-a-service (RaaS) szolgáltatót. A Black Basta több mint 500 szervezetet vett célba világszerte, és kritikus infrastruktúra ágazatot, köztük az egészségügyet is támadta. Az Ascension, egy nonprofit egészségügyi hálózat elleni közelmúltbeli támadás jelentős fennakadásokat okozott, ami arra késztette az FBI-t és a CISA-t, hogy közös javaslatokat adjanak ki, amelyben részletezik a csoport taktikáját és enyhítési stratégiákat kínálnak. Ez a tanácsadás kiemeli, hogy a Black Basta az adathalászatot és a nulladik napi sebezhetőségeket használja a kezdeti hozzáféréshez, olyan eszközöket alkalmaz, mint az MSBuild a fájl nélküli támadásokhoz, és kettős zsarolási technikákat használ.

A Black Basta műveletei kifinomultak, számos eszközt használnak a felfedezéshez, az oldalirányú mozgáshoz és a jogosultságok kiterjesztéséhez, köztük a SoftPerfect hálózati szkennert, a BITSAdmin-t és a Mimikatz-ot. Az RClone-t is használják az adatok kiszivárgásához, valamint a PowerShell-t a vírusvédelem kikapcsolásához, mielőtt a ChaCha20 algoritmussal titkosítanák a fájlokat. Annak ellenére, hogy nincs közvetlen bizonyíték arra, hogy a Black Basta nemzetállami támogatással működne, a csoport orosz nyelvű használata és támadási mintái orosz érdekekhez való igazodásra utalnak. Az FBI és a CISA azt ajánlja a szervezeteknek, hogy az ilyen fenyegetések elleni hatékony védekezés érdekében fogadjanak el robusztus kiberbiztonsági intézkedéseket, például rendszeres szoftverfrissítéseket, többfaktoros hitelesítést és átfogó adathalász-oktatást.

(forrás)