美国政府警告称,Black Basta勒索软件团伙攻击了全球500多家组织,美国大多数关基行业都被攻击过,据统计其至少获得了超1亿美元赎金。
前情回顾·美国勒索软件预警与治理
因勒索软件攻击形势严峻,美国政府向地方拨款27亿元
LockBit勒索软件累计攻击美国约1700次,共勒索9100万美元
安全内参5月14日消息,美国政府警告称,Black Basta勒索软件团伙已经攻击了全球500多家组织,包括北美、欧洲和澳大利亚等地的关键基础设施实体。
Black Basta最早于2022年4月被发现。该团伙采用勒索软件即服务商业模式运作。该模式下,Black Basta的附属机构发动网络攻击,向受害组织部署恶意软件,并按比例领取赎金。
2023年11月,区块链分析公司Elliptic发布的报告估计,Black Basta的附属机构从至少90家受害组织处获得了超过1亿美元的赎金。
据美媒CNN报道称,四位消息人士称,Black Basta勒索软件也是本月针对非营利医疗系统Ascension攻击的幕后黑手。这家天主教组织在美国各地经营着数百家医院,由于攻击事件造成的技术中断,导致被迫拒接救护车、使用纸笔记录并取消非紧急预约。
Black Basta组织常用技战法
根据美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、卫生与公共服务部(HHS)以及多州信息共享与分析中心(MS-ISAC)联合发布的最新警报,Black Basta的附属机构已攻击了包括医疗组织在内的12个关键基础设施行业,美国共计16个关键基础设施行业。
网络犯罪分子主要采用钓鱼攻击、利用已知漏洞等手段获得初始访问权限。比如, ConnectWise ScreenConnect严重漏洞CVE-2024-1709,自从2月19日公开披露后,仅几天内就开始被利用。
在侵入受害者网络后,攻击者会部署各种工具进行远程访问、网络扫描、横向移动、权限升级和数据外泄。具体工具包括SoftPerfect、BITSAdmin、PsExec、Mimikatz和RClone。
据观察,Black Basta的附属机构还利用ZeroLogon、NoPac和PrintNightmare等漏洞进行权限升级,滥用远程桌面协议(RDP)进行横向移动,并部署Backstab工具以禁用端点检测和响应(EDR)解决方案。
在窃取受害者的数据后,攻击者会删除卷影副本以阻碍恢复,部署勒索软件对受损系统进行加密,并留下赎金要求。
CISA、FBI、HHS和MS-ISAC在新警报中详细阐述了Black Basta的附属机构采用的战术、技术和程序(TTPs)、威胁指标(IoCs)以及推荐的缓解措施。
四家政府机构指出:“在网络犯罪行为者眼里,医疗组织是极具吸引力的目标,这是因为他们规模较大、有技术依赖性、存有个人健康信息,且患者护理一旦中断即会造成独特影响。作为通知发布机构,我们敦促医疗服务提供者和医院(HPH)行业以及所有关键基础设施组织采用推荐的缓解措施,以降低来自Black Basta和其他勒索软件攻击的威胁。”
2024年1月,黑客研究团队兼咨询机构SRLabs发布了一个免费的解密工具,帮助Black Basta受害者恢复其数据而不必支付赎金。
参考资料:securityweek.com