新闻中心

NEWS CENTER

危害国家关基安全!美政府发布Black Basta勒索软件预警


美国政府警告称,Black Basta勒索软件团伙攻击了全球500多家组织,美国大多数关基行业都被攻击过,据统计其至少获得了超1亿美元赎金。

 

5月14日消息,美国政府警告称,Black Basta勒索软件团伙已经攻击了全球500多家组织,包括北美、欧洲和澳大利亚等地的关键基础设施实体。

 

Black Basta最早于2022年4月被发现。该团伙采用勒索软件即服务商业模式运作。该模式下,Black Basta的附属机构发动网络攻击,向受害组织部署恶意软件,并按比例领取赎金。

 

2023年11月,区块链分析公司Elliptic发布的报告估计,Black Basta的附属机构从至少90家受害组织处获得了超过1亿美元的赎金。

 

据美媒CNN报道称,四位消息人士称,Black Basta勒索软件也是本月针对非营利医疗系统Ascension攻击的幕后黑手。这家天主教组织在美国各地经营着数百家医院,由于攻击事件造成的技术中断,导致被迫拒接救护车、使用纸笔记录并取消非紧急预约。

 

Black Basta组织常用技战法

 

根据美国网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、卫生与公共服务部(HHS)以及多州信息共享与分析中心(MS-ISAC)联合发布的最新警报,Black Basta的附属机构已攻击了包括医疗组织在内的12个关键基础设施行业,美国共计16个关键基础设施行业。

 

网络犯罪分子主要采用钓鱼攻击、利用已知漏洞等手段获得初始访问权限。比如, ConnectWise ScreenConnect严重漏洞CVE-2024-1709,自从2月19日公开披露后,仅几天内就开始被利用。

 

在侵入受害者网络后,攻击者会部署各种工具进行远程访问、网络扫描、横向移动、权限升级和数据外泄。具体工具包括SoftPerfect、BITSAdmin、PsExec、Mimikatz和RClone。

 

据观察,Black Basta的附属机构还利用ZeroLogon、NoPac和PrintNightmare等漏洞进行权限升级,滥用远程桌面协议(RDP)进行横向移动,并部署Backstab工具以禁用端点检测和响应(EDR)解决方案。

 

在窃取受害者的数据后,攻击者会删除卷影副本以阻碍恢复,部署勒索软件对受损系统进行加密,并留下赎金要求。

 

CISA、FBI、HHS和MS-ISAC在新警报中详细阐述了Black Basta的附属机构采用的战术、技术和程序(TTPs)、威胁指标(IoCs)以及推荐的缓解措施。

 

四家政府机构指出:“在网络犯罪行为者眼里,医疗组织是极具吸引力的目标,这是因为他们规模较大、有技术依赖性、存有个人健康信息,且患者护理一旦中断即会造成独特影响。作为通知发布机构,我们敦促医疗服务提供者和医院(HPH)行业以及所有关键基础设施组织采用推荐的缓解措施,以降低来自Black Basta和其他勒索软件攻击的威胁。”

 

2024年1月,黑客研究团队兼咨询机构SRLabs发布了一个免费的解密工具,帮助Black Basta受害者恢复其数据而不必支付赎金。

 

参考资源:securityweek.com

文章来源于安全内参

 

杭州中电安科现代科技有限公司

 

中电安科成立于2016年,是国内工业互联网安全行业领军者,自2021年起,公司相继获中国电科、中国中车、国家电网、长江资本等国资基金战略投资,正式进入网络安全“国家队”。凭借自身突出的的技术创新优势,在行业内率先入选国家级“专精特新‘小巨人’企业”。公司始终坚持与国内生态伙伴共同打造工业互联网安全产品的国产化赛道,融合可信计算体系,凭借覆盖审计检测、边界防护、终端防护、安全管理、攻防演练等全域的工业网络安全产品体系,以创新赋能大交通、电力、石油石化、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业用户,为工业自主化、智能化转型保驾护航。

 

护航关基

支撑新质生产力安全

www.zd-sec.com

400-606-8226

华北区域 | 杨经理 13910211256

华东区域 | 李经理 19157600997

华南区域 | 张经理 18501793666

技术咨询 | 齐经理 15010390956

品牌合作 | 刘经理 15010923501

相关新闻