危害国家关基安全!美政府发布Black Basta勒索软件预警

admin 2024年5月14日20:05:29评论6 views字数 1464阅读4分52秒阅读模式

关注我们

带你读懂网络安全

危害国家关基安全!美政府发布Black Basta勒索软件预警

美国政府警告称,Black Basta勒索软件团伙攻击了全球500多家组织,美国大多数关基行业都被攻击过,据统计其至少获得了超1亿美元赎金。

前情回顾·美国勒索软件预警与治理
安全内参5月14日消息,美国政府警告称,Black Basta勒索软件团伙已经攻击了全球500多家组织,包括北美、欧洲和澳大利亚等地的关键基础设施实体。
Black Basta最早于2022年4月被发现。该团伙采用勒索软件即服务商业模式运作。该模式下,Black Basta的附属机构发动网络攻击,向受害组织部署恶意软件,并按比例领取赎金。
2023年11月,区块链分析公司Elliptic发布的报告估计,Black Basta的附属机构从至少90家受害组织处获得了超过1亿美元的赎金。
据美媒CNN报道称,四位消息人士称,Black Basta勒索软件也是本月针对非营利医疗系统Ascension攻击的幕后黑手。这家天主教组织在美国各地经营着数百家医院,由于攻击事件造成的技术中断,导致被迫拒接救护车、使用纸笔记录并取消非紧急预约。

Black Basta组织常用技战法

根据美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、卫生与公共服务部(HHS)以及多州信息共享与分析中心(MS-ISAC)联合发布的最新警报,Black Basta的附属机构已攻击了包括医疗组织在内的12个关键基础设施行业,美国共计16个关键基础设施行业。
网络犯罪分子主要采用钓鱼攻击、利用已知漏洞等手段获得初始访问权限。比如, ConnectWise ScreenConnect严重漏洞CVE-2024-1709,自从2月19日公开披露后,仅几天内就开始被利用。
在侵入受害者网络后,攻击者会部署各种工具进行远程访问、网络扫描、横向移动、权限升级和数据外泄。具体工具包括SoftPerfect、BITSAdmin、PsExec、Mimikatz和RClone。
据观察,Black Basta的附属机构还利用ZeroLogon、NoPac和PrintNightmare等漏洞进行权限升级,滥用远程桌面协议(RDP)进行横向移动,并部署Backstab工具以禁用端点检测和响应(EDR)解决方案。
在窃取受害者的数据后,攻击者会删除卷影副本以阻碍恢复,部署勒索软件对受损系统进行加密,并留下赎金要求。
CISA、FBI、HHS和MS-ISAC在新警报中详细阐述了Black Basta的附属机构采用的战术、技术和程序(TTPs)、威胁指标(IoCs)以及推荐的缓解措施。
四家政府机构指出:“在网络犯罪行为者眼里,医疗组织是极具吸引力的目标,这是因为他们规模较大、有技术依赖性、存有个人健康信息,且患者护理一旦中断即会造成独特影响。作为通知发布机构,我们敦促医疗服务提供者和医院(HPH)行业以及所有关键基础设施组织采用推荐的缓解措施,以降低来自Black Basta和其他勒索软件攻击的威胁。”
2024年1月,黑客研究团队兼咨询机构SRLabs发布了一个免费的解密工具,帮助Black Basta受害者恢复其数据而不必支付赎金。

参考资料:securityweek.com

原文始发于微信公众号(安全内参):危害国家关基安全!美政府发布Black Basta勒索软件预警

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月14日20:05:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   危害国家关基安全!美政府发布Black Basta勒索软件预警https://cn-sec.com/archives/2739847.html

发表评论

匿名网友 填写信息