Operace Black Basta ransomware-as-a-service (RaaS) se od svého vzniku v dubnu 2022 zaměřila na více než 500 subjektů soukromého průmyslu a kritické infrastruktury v Severní Americe, Evropě a Austrálii.
Ve společném doporučení zveřejněném Agenturou pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Federálním úřadem pro vyšetřování (FBI), Ministerstvem zdravotnictví a sociálních služeb (HHS) a Centrem pro sdílení a analýzu informací ve více státech (MS-ISAC) agentury uvedly, že aktéři hrozeb zašifrovali a ukradli data z nejméně 12 ze 16 sektorů kritické infrastruktury.
„Pobočky Black Basta používají běžné techniky počátečního přístupu – jako je phishing a zneužívání známých zranitelností – a poté používají model dvojitého vydírání, a to jak šifrování systémů, tak exfiltraci dat,“ uvádí se v bulletinu.
Na rozdíl od jiných ransomwarových skupin neobsahují poznámky o výkupném vyhozené na konci útoku počáteční požadavek na výkupné ani pokyny k platbě. Poznámky spíše poskytují obětem jedinečný kód a instruují je, aby kontaktovaly gang prostřednictvím URL adresy .onion.
Black Basta byla poprvé pozorována v dubnu 2022 pomocí QakBota jako počátečního vektoru a od té doby zůstala vysoce aktivním aktérem ransomwaru.
Statistiky shromážděné společností Malwarebytes ukazují, že skupina byla spojena s 28 z 373 potvrzených ransomwarových útoků, ke kterým došlo v dubnu 2024. Podle společnosti Kaspersky to byla v roce 2023 12. nejaktivnější rodina. Black Basta také zaznamenala nárůst aktivity v 1. čtvrtletí 2024, a to mezičtvrtletně o 41 %.
Existují důkazy, které naznačují, že operátoři Black Basta mají vazby na jinou kyberzločineckou skupinu sledovanou jako FIN7, která se od roku 2020 přesunula k provádění ransomwarových útoků.
Řetězce útoků zahrnující ransomware se spoléhaly na nástroje, jako je síťový skener SoftPerfect pro skenování sítě, BITSAdmin, majáky Cobalt Strike, ConnectWise ScreenConnect a PsExec pro laterální pohyb, Mimikatz pro eskalaci oprávnění a RClone pro exfiltraci dat před šifrováním.
Mezi další metody používané k získání zvýšených oprávnění patří zneužití bezpečnostních chyb, jako je ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 a CVE-2021-42287) a PrintNightmare (CVE-2021-34527).
Vybrané instance také zahrnovaly nasazení nástroje s názvem Backstab, který deaktivuje software pro detekci a reakci koncových bodů (EDR). Stojí za zmínku, že Backstab byl v minulosti využit také přidruženými společnostmi LockBit.
Posledním krokem je šifrování souborů pomocí algoritmu ChaCha20 s veřejným klíčem RSA-4096, ale ne před odstraněním stínových kopií svazku pomocí programu vssadmin.exe, aby se zabránilo obnově systému.
„Zdravotnické organizace jsou atraktivním cílem pro aktéry počítačové kriminality kvůli své velikosti, technologické závislosti, přístupu k osobním zdravotním informacím a jedinečným dopadům narušení péče o pacienty,“ uvedly agentury.
Vývoj přichází v době, kdy ransomwarová kampaň CACTUS nadále využívala bezpečnostní chyby v cloudové analytické a business intelligence platformě s názvem Qlik Sense k získání počátečního přístupu do cílových prostředí.
Nová analýza týmu Fox-IT společnosti NCC Group odhalila, že 3 143 serverů je stále ohroženo CVE-2023-48365 (aka DoubleQlik), přičemž většina z nich se k 17. dubnu 2024 nacházela v USA, Itálii, Brazílii, Nizozemsku a Německu.
Prostředí ransomwaru se neustále mění a v 1. čtvrtletí 2024 zaznamenalo 18% pokles aktivity ve srovnání s předchozím čtvrtletím, a to především díky operacím orgánů činných v trestním řízení proti společnostem ALPHV (aka BlackCat) a LockBit.
Vzhledem k tomu, že LockBit trpí značnými reputačními neúspěchy mezi přidruženými společnostmi, existuje podezření, že se skupina s největší pravděpodobností pokusí o rebranding. „Skupina ransomwaru DarkVault je možným nástupcem LockBitu,“ uvedla kyberbezpečnostní firma ReliaQuest s odkazem na podobnosti se značkou LockBit.
Mezi další nové skupiny ransomwaru, které se objevily v posledních týdnech, patří APT73, DoNex, DragonForce, Hunt (varianta ransomwaru Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rinccrypt a Shinra.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS