CISA ve FBI bugün, Black Basta fidye yazılımı bağlı şirketlerinin Nisan 2022 ile Mayıs 2024 arasında 500’den fazla kuruluşun ihlalini gerçekleştirdiğini söyledi.
Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) ve Çok Eyaletli Bilgi Paylaşımı ve Analiz Merkezi (MS-ISAC) ile işbirliği içinde yayınlanan ortak bir raporda, iki federal kurum, çetenin ayrıca en azından verileri şifrelediğini ve çaldığını ekledi. 16 kritik altyapı sektöründen 12’si.
CISA, “Black Basta bağlı kuruluşları, Kuzey Amerika, Avrupa ve Avustralya’da sağlık kuruluşları da dahil olmak üzere 500’den fazla özel sektörü ve kritik altyapı kuruluşunu hedef aldı” dedi.
Federal kurumlar bugünkü tavsiyeye neyin yol açtığını paylaşmasa da, Black Basta bu hafta sağlık devi Ascension’ın sistemlerini vuran ve ABD sağlık ağını ambulansları etkilenmeyen tesislere yönlendirmeye zorlayan şüpheli bir fidye yazılımı saldırısıyla ilişkilendirildi.
Cuma günü, Health-ISAC (Bilgi Paylaşımı ve Analiz Merkezi) de Black Basta fidye yazılımı çetesinin “son zamanlarda sağlık sektörüne yönelik saldırıları hızlandırdığına” dair bir uyarı bülteni yayınladı.
Black Basta, Nisan 2022’de bir Hizmet Olarak Fidye Yazılımı (RaaS) operasyonu olarak ortaya çıktı. O zamandan bu yana bağlı kuruluşları, Hyundai’nin Avrupa bölümü Alman savunma yüklenicisi Rheinmetall, Birleşik Krallık teknoloji dış kaynak şirketi Capita, endüstriyel otomasyon şirketi de dahil olmak üzere birçok yüksek profilli kurbanı ihlal etti. ve hükümet yüklenicisi ABB, Toronto Halk Kütüphanesi, Amerikan Dişhekimleri Birliği, Sobeys, Knauf ve Yellow Pages Canada.
Conti siber suç örgütü, bir dizi utanç verici veri ihlalinin ardından Haziran 2022’de kapatıldıktan sonra birden fazla gruba bölündü ve bu gruplardan birinin Black Basta olduğuna inanılıyordu.
Sağlık ve İnsani Hizmetler Bakanlığı güvenlik ekibi Mart 2023 tarihli bir raporda, “Tehdit grubunun ilk iki haftalık operasyonunda en az 20 kurbanı verimli bir şekilde hedeflemesi, fidye yazılımı konusunda deneyimli olduğunu ve istikrarlı bir ilk erişim kaynağına sahip olduğunu gösteriyor.” dedi. .
“Yetkin fidye yazılımı operatörlerinin gelişmişlik düzeyi ve Dark Web forumlarında eleman alma veya reklam verme konusundaki isteksizliği, birçok kişinin neden yeni ortaya çıkan Black Basta’nın Rusça konuşan RaaS tehdit grubu Conti’nin yeniden markası olabileceğinden veya diğer tehditlerle bağlantılı olabileceğinden şüphelendiğini destekliyor. Rusça konuşan siber tehdit grupları.”
Elliptic ve Corvus Insurance’ın araştırmasına göre, Rusya bağlantılı bu fidye yazılımı çetesi, Kasım 2023’e kadar 90’dan fazla kurbandan en az 100 milyon dolar fidye ödemesi de aldı.
Ortak danışma belgesi aynı zamanda savunmacılara taktikler, teknikler ve prosedürler (TTP’ler) ile Black Basta üyeleri tarafından kullanılan ve FBI soruşturmaları sırasında belirlenen uzlaşma göstergelerini (IOC’ler) de sağlıyor.
Savunmacılar işletim sistemlerini, yazılımları ve donanım yazılımlarını güncel tutmalı, mümkün olduğu kadar çok hizmet için kimlik avına karşı dayanıklı Çok Faktörlü Kimlik Doğrulaması’na (MFA) ihtiyaç duymalı ve Black Basta fidye yazılımı saldırı risklerini azaltmak için kullanıcıları kimlik avı girişimlerini tanıma ve raporlama konusunda eğitmelidir. .
Ayrıca, CISA tarafından önerilen risk azaltıcı önlemleri uygulayarak, daha hızlı onarım ve restorasyon sağlamak için cihaz yapılandırmalarının ve kritik sistemlerin yedeklerini mümkün olduğunca sık alarak ve StopRansomware Kılavuzu’nda paylaşılan risk azaltıcı önlemleri uygulayarak uzaktan erişim yazılımını güvence altına almalıdırlar.
Kurumlar, özellikle sağlık kuruluşlarının bu fidye yazılımı operasyonu nedeniyle karşı karşıya kaldığı artan riskleri vurguladı ve onları, potansiyel saldırıları engellemek için önerilen bu hafifletme önlemlerinin uygulanmasını sağlamaya çağırdı.
CISA ve FBI, “Sağlık kuruluşları, büyüklükleri, teknolojik bağımlılıkları, kişisel sağlık bilgilerine erişimleri ve hasta bakımındaki aksaklıkların benzersiz etkileri nedeniyle siber suç aktörleri için çekici hedeflerdir.” uyarısında bulundu.
“Yazan kuruluşlar, HPH Sektörünü ve tüm kritik altyapı kuruluşlarını, Black Basta ve diğer fidye yazılımı saldırılarından kaynaklanan risk olasılığını azaltmak için bu CSA’nın Azaltıcı Önlemler bölümündeki önerileri uygulamaya çağırıyor.”