截至 2024 年 5 月, Black Basta 勒索軟體業者已侵入全球 500 多個組織。為了應對不斷升級的威脅,美國網路安全暨基礎設施安全局(CISA)與美國聯邦調查局(FBI)發布了聯合網路安全諮詢,警告Black Basta勒索軟體業不斷增加的活動,該組織的活動已經影響了包括醫療保健行業在內的數十個關鍵基礎設施組織。至少從 2022 年春季開始,Black Basta 就以RaaS形式運營,主要針對北美、歐洲和澳洲的眾多企業和關鍵基礎設施組織。根據聯合網路安全諮詢 AA24-131A,在長達 2 年的攻擊活動中,該組織已影響了全球 500 多個組織,突顯了提高網路安全意識和主動防禦措施的必要性。 贖金要求因目標組織而異,有報告稱贖金金額可能高達 200 萬美元。據估計,Black Basta 在不到兩年的時間內從 90多名受害者那裡獲得了超過 1.07 億美元的贖金收入。 Black Basta 通常針對製造、運輸、建築和相關服務、電信、汽車業和醫療保健提供者。著名的受害者包括南方水務公司(Southern Water)、BionPharma、M&M Industries、可口可樂、加拿大黃頁、AgCo、Capita、ABB、Merchant Schmidt、Tag Aviation、Blount Fine Foods等等。
有證據表明Black Basta營運商與另一個名為FIN7的網路犯罪組織有聯繫,該組織自 2020 年以來已轉向實施勒索軟體攻擊。涉及勒索軟體的攻擊鏈依賴BITSAdmin、PsExec 和 RDP 等實用程式。他們還可以利用 Splashtop、ScreenConnect和Cobalt Strike 信標進行遠端存取。為了進行權限升級,Black Basta 使用Mimikatz等憑證抓取實用程序,還可以利用漏洞利用,例如濫用ZeroLogon、CVE-2021-42287或 PrintNightmare 已知安全漏洞。
Black Basta 勒索軟體組織利用 RClone 從受感染的系統中竊取資料。在資料外洩之前,他們往往會透過 PowerShell 和 Backstab 實用程式逃避偵測。然後,他們使用 ChaCha20 演算法和 RSA-4096 公鑰對檔案進行加密,附加隨機檔案副檔名,並留下標題為 readme.txt 的勒索字條,同時阻礙系統復原。
CISA 表示:“醫療保健組織因其規模、技術依賴性、個人健康資訊的獲取以及患者護理中斷的獨特影響而成為網路犯罪分子的有吸引力的目標。”為了降低入侵風險,防禦者建議關鍵組織安裝所有必要的軟體和韌體更新,應用多因素身份驗證,安全遠端存取工具包,並維護關鍵系統和設備配置的備份以促進復原過程。 CISA 和合作夥伴也建議應用#StopRansomware針對Black Basta指南中提供的一般緩解措施,以消除勒索軟體攻擊和資料勒索威脅的影響和可能性。隨著 Black Basta 和其他勒索軟體針對關鍵基礎設施組織的攻擊不斷增加,持續加強網路警覺性和強化防禦至關重要。
此外,FBI也公布了Black Basta的入侵指標(IOCs):
