Black Basta Ransomware-Angriffe treffen über 500 Organisationen auf der ganzen Welt

Die globalen Auswirkungen der Black Basta Ransomware-Angriffe waren enorm. Über 500 Organisationen fielen dieser bedrohlichen Aktivität zum Opfer. Diese seit April 2022 identifizierte Gruppe operiert im Rahmen des Ransomware-as-a-Service-Modells (RaaS), bei dem Partner im Namen der Gruppe Cyberangriffe ausführen, die auf kritische Infrastrukturen in Nordamerika, Europa und Australien abzielen. Insbesondere haben Black Basta -Partner Schwachstellen wie CVE-2024-1709 , einen kritischen ConnectWise ScreenConnect-Fehler, ausgenutzt, um sich ersten Zugriff auf die Netzwerke der Opfer zu verschaffen.

Sobald sie sich im System befinden, nutzen sie verschiedene Tools für Fernzugriff, Netzwerkscans und Datenexfiltration, darunter SoftPerfect, PsExec und Mimikatz. Sie sind auch dafür bekannt, Schwachstellen wie ZeroLogon und PrintNightmare zur Rechteausweitung auszunutzen und das Remote Desktop Protocol (RDP) für die laterale Bewegung zu nutzen. Darüber hinaus trägt der Einsatz des Backstab-Tools zum Deaktivieren von Endpoint Detection and Response (EDR)-Lösungen zur Raffinesse ihrer Angriffe bei.

Um Wiederherstellungsversuche zu erschweren, löschen die Angreifer Volumeschattenkopien, bevor sie kompromittierte Systeme verschlüsseln und eine Lösegeldforderung hinterlassen. Als Reaktion auf diese Bedrohungen haben Regierungsbehörden wie CISA, FBI, HHS und MS-ISAC Warnmeldungen herausgegeben, in denen die Taktiken, Techniken und Verfahren (TTPs) von Black Basta sowie Indikatoren für Kompromittierungen (IoCs) und empfohlene Gegenmaßnahmen beschrieben werden.

Aufgrund ihrer Größe, technologischen Abhängigkeit und ihres Zugangs zu persönlichen Gesundheitsdaten sind Gesundheitsorganisationen besonders gefährdet. In Anbetracht dessen fordern die oben genannten Behörden alle kritischen Infrastruktureinrichtungen, insbesondere im Gesundheitssektor, auf, die empfohlenen Maßnahmen zu ergreifen, um das Risiko einer Gefährdung durch Black Basta und ähnliche Ransomware-Angriffe zu verringern.

Trotz der Herausforderungen, die solche Angriffe mit sich bringen, gab es Bemühungen, den Opfern zu helfen. Im Januar 2024 veröffentlichte SRLabs einen kostenlosen Decryptor, der Opfern von Black Basta dabei helfen soll, ihre Daten wiederherzustellen, ohne Lösegeldforderungen nachzugeben. Bei einigen Opfern der Bedrohung haben solche Bemühungen funktioniert, aber viele mussten Anti-Malware-Ressourcen nutzen, um ihr System von der fiesen Malware-Bedrohung und anderen ähnlichen Bedrohungen zu befreien. Solche Initiativen unterstreichen den kollaborativen Ansatz, der erforderlich ist, um aggressive Ransomware-Bedrohungen wirksam zu bekämpfen.