CISA и ФБР съобщиха днес, че филиали на ransomware Black Basta са нарушили сигурността на над 500 организации между април 2022 г. и май 2024 г.
В съвместен доклад, публикуван в сътрудничество с Министерството на здравеопазването и човешките услуги (HHS) и Многодържавния център за обмен на информация и анализ (MS-ISAC), двете федерални агенции допълват, че бандата също така е криптирала и откраднала данни от поне 12 от 16 сектора на критичната инфраструктура.
„Свързаните с Black Basta лица са се насочили към над 500 частни промишлени предприятия и структури от критичната инфраструктура, включително здравни организации, в Северна Америка, Европа и Австралия“, заяви CISA.
Black Basta се появява като операция „Ransomware-as-a-Service“ (RaaS) през април 2022 г. Оттогава нейните филиали са нарушили сигурността на много високопоставени жертви, включително германския отбранителен изпълнител Rheinmetall, европейското подразделение на Hyundai, британската компания за технологичен аутсорсинг Capita, компанията за индустриална автоматизация и държавен изпълнител ABB, обществената библиотека в Торонто, Американската стоматологична асоциация, Sobeys, Knauf и Yellow Pages Canada.
След като през юни 2022 г. синдикатът за киберпрестъпления Conti прекратява дейността си след поредица от смущаващи нарушения на сигурността на данните, той се разделя на множество групи, като се смята, че една от тези фракции е Black Basta.
„Плодотворното насочване на групата за заплахи към поне 20 жертви през първите две седмици от нейната дейност показва, че тя има опит в изнудваческия софтуер и разполага с постоянен източник на първоначален достъп“, казва екипът по сигурността на Министерството на здравеопазването и човешките ресурси в доклад от март 2023 г.
„Нивото на изтънченост от страна на неговите опитни оператори на рансъмуер и нежеланието му да набира персонал или да се рекламира във форуми в Тъмната мрежа подкрепя причината, поради която мнозина подозират, че зараждащата се Black Basta може дори да е ребранд на рускоезичната група за RaaS заплахи Conti или също така да е свързана с други рускоезични групи за киберзаплахи.“
Според проучванията на Elliptic и Corvus Insurance тази свързана с Русия банда за откупи също така е събрала поне 100 млн. долара под формата на откупи от над 90 жертви до ноември 2023 г.
В съвместната консултация се предоставят и тактики, техники и процедури (ТТП) и индикатори за компрометиране (ИОК), използвани от филиалите на Black Basta и идентифицирани по време на разследванията на ФБР.
Защитниците трябва да поддържат операционните системи, софтуера и фърмуера актуални, да изискват устойчива на фишинг многофакторна автентификация (MFA) за възможно най-много услуги и да обучават потребителите да разпознават и докладват опити за фишинг, за да намалят рисковете от атаки с рансъмуер на Black Basta.
Те трябва също така да подсигурят софтуера за отдалечен достъп, като прилагат препоръчаните от CISA смекчаващи мерки, да правят резервни копия на конфигурациите на устройствата и критичните системи възможно най-често, за да позволят по-бързи ремонти и възстановяване, и да прилагат смекчаващите мерки, споделени в ръководството StopRansomware.
Агенциите изрично подчертаха повишените рискове, пред които са изправени здравните организации от тази операция с ransomware, и ги призоваха да гарантират, че тези препоръчани смекчаващи мерки се прилагат, за да се блокират потенциалните атаки.
„Организациите в областта на здравеопазването са привлекателни цели за извършителите на киберпрестъпления поради техния размер, технологична зависимост, достъп до лична здравна информация и уникални последици от прекъсването на грижите за пациентите“, предупредиха CISA и ФБР.
„Авторските организации призовават сектор HPH и всички организации от критичната инфраструктура да прилагат препоръките в раздела Mitigations (Смекчаващи мерки) на този CSA, за да намалят вероятността от компрометиране от Black Basta и други ransomware атаки.“
Макар че федералните агенции не споделиха какво е предизвикало днешната консултация, Black Basta беше свързана тази седмица с предполагаема атака с рансъмуер, която засегна системите на здравния гигант Ascension, принуждавайки здравната мрежа в САЩ да пренасочи линейките към незасегнати обекти.
В петък Health-ISAC (Център за обмен на информация и анализ) също издаде бюлетин за заплахите, в който предупреждава, че бандата Black Basta ransomware „напоследък е ускорила атаките срещу сектора на здравеопазването“.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.