Erkennung von Black Basta Aktivitäten: FBI, CISA & Partner warnen vor zunehmenden Ransomware-Angriffen auf kritische Infrastruktursektoren, einschließlich Gesundheitswesen
Inhaltsverzeichnis:
Seit Mai 2024 haben die berüchtigten Black Basta Ransomware-Betreiber über 500 globale Organisationen verletzt. Als Reaktion auf die eskalierenden Bedrohungen haben die führenden US-amerikanischen und globalen Cybersicherheitsagenturen eine gemeinsame Cybersicherheitswarnung herausgegeben, die Verteidiger vor der zunehmenden Aktivität der Gruppe warnt, die bereits Dutzende kritische Infrastruktureinrichtungen, einschließlich des Gesundheitssektors, beeinträchtigt hat.
Erkennung von Black Basta Ransomware-Infektionen
Mit über 300 Millionen Ransomware-Angriffsversuchen, die allein 2023 erkannt wurden, bleibt die Ransomware-Bedrohung eine der größten Herausforderungen für Cyberverteidiger. Obwohl Black Basta RaaS ein relativ neuer Akteur in der Cyberwelt ist, hat das bösartige Kollektiv weltweit Hunderte hochkarätiger Organisationen betroffen und strebt finanzielle Gewinne an.
Um proaktiv zu bleiben und mögliche Angriffe in den frühesten Entwicklungsstufen zu erkennen, könnten Sicherheitsexperten den neuesten CSA-Alarm erkunden, der die Black Basta TTPs und Werkzeuge detailliert. Zusätzlich könnten Cybersecurity-Praktiker auf die SOC Prime Plattform für kollektive Cyberabwehr zurückgreifen, die einen Satz kuratierter Sigma-Regeln bietet, die die im Beratung AA24-131Abeschriebenen Angriffsmethoden adressieren. Einfach den Browse Detections Button drücken und sofort in einen relevanten Erkennungsstapel eintauchen.
Alle Regeln sind mit mehr als 30 SIEM-, EDR- und Data-Lake-Technologien kompatibel und mit dem MITRE ATT&CK® Framework v14.1verknüpft. Zusätzlich sind die Erkennungen mit umfangreichen Metadaten angereichert, einschließlich CTI-Links, ATT&CK-Referenzen, Angriffstimeline und mehr.
Sicherheitsexperten, die nach zusätzlichem Kontext zu den Black Basta TTPs suchen und Angriffe retrospektiv analysieren möchten, können im Threat Detection Marketplace nach weiteren verwandten Sigma-Regeln suchen, indem sie den „Black Basta“-Tag.
Analyse von Black Basta Ransomware Angriffen
Black Basta Bedrohungsschauspieler stehen seit mindestens Frühjahr 2022 im Rampenlicht, operieren als RaaS und zielen hauptsächlich auf zahlreiche Unternehmen und kritische Infrastruktureinrichtungen in Nordamerika, Europa und Australien. Laut der gemeinsamen Cybersecurity Advisory AA24-131Ahat die Gruppe während einer zweijährigen Periode aktiver gegnerischer Aktivitäten mehr als 500 Organisationen weltweit betroffen, was die Notwendigkeit für erhöhte Cybersicherheitsbewusstseins und proaktive Verteidigungsmaßnahmen unterstreicht.
Das FBI, die CISA und Partner haben Einblicke in die laufenden Ransomware-Angriffe geteilt, bei denen mindestens ein Dutzend kritische Infrastruktureinrichtungen von Datenverschlüsselung und Exfiltration durch Gegner bedroht sind, einschließlich des Gesundheitssektors.
Für den anfänglichen Zugang verwendet Black Basta häufig Phishing und nutzt bekannte Sicherheitslücken. Weiterhin verwenden die Gegner einen Doppel-Erpressungsansatz, der sowohl die Verschlüsselung von Systemen als auch die Extraktion von Daten beinhaltet. Anstatt das anfängliche Lösegeld oder Zahlungsrichtlinien zu senden, stellt Black Basta den Opfern einen eindeutigen Code zur Verfügung und fordert sie auf, über eine benutzerdefinierte URL, die über den Tor-Browser zugänglich ist, die Ransomware-Gruppe zu kontaktieren.
Für Netzwerkscans verwendet Black Basta Tools wie SoftPerfect (netscan.exe) undfür Aufklärungsverfahren nutzen Gegner häufig Dienstprogramme mit scheinbar harmlosen Dateinamen, wie Intel oder Dell.
Um sich lateral über exponierte Netzwerke zu bewegen, verlassen sich Black Basta Affiliates auf Dienstprogramme wie BITSAdmin, PsExec und RDP. Sie können auch Splashtop, ScreenConnectund Cobalt Strike Beacons für den Fernzugriff nutzen. Für Privilegienerhöhung verwendet Black Basta Dienstprogramme zur Anmeldeinformationsabfrage wie Mimikatz und kann auch die Ausnutzung von Sicherheitslücken nutzen, zum Beispiel durch den Missbrauch von ZeroLogon, CVE-2021-42287oder bekannte Sicherheitslücken wie PrintNightmare.
Die Black Basta Ransomware-Gruppe nutzt RClone, um Daten von kompromittierten Systemen zu stehlen. Vor der Datenexfiltration neigen sie dazu, die Erkennung mittels PowerShell und dem Backstab-Dienstprogramm zu umgehen. Anschließend verschlüsseln sie Dateien mit dem ChaCha20-Algorithmus unter Verwendung eines RSA-4096 öffentlichen Schlüssels, hängen eine zufällige Dateiendung an und hinterlassen eine Lösegeldforderung mit dem Titel readme.txt, während sie die Systemwiederherstellung behindern.
Aufgrund der großen Größe, der hohen Technologieabhängigkeit und des Zugangs zu sensiblen Daten sind Gesundheitsorganisationen nach wie vor attraktive Ziele für die Black Basta Ransomware-Bande. Um die Risiken von Verletzungen zu reduzieren, empfehlen Verteidiger, dass kritische Organisationen alle erforderlichen Software- und Firmware-Updates installieren, Multi-Faktor-Authentifizierung anwenden, Remote-Zugriffstools sichern und Backups von kritischen Systemen und Gerätekonfigurationen erstellen, um Wiederherstellungsverfahren zu erleichtern. CISA und Partner empfehlen auch die Anwendung allgemeiner Maßnahmen, die im #StopRansomware-Leitfaden bereitgestellt werden, um die Auswirkungen und Wahrscheinlichkeit von Ransomware-Angriffen und Datenerpressungsbedrohungen zu verringern.
Angesichts der zunehmenden Angriffe, die Black Basta und anderen Ransomware-Partnern zugeschrieben werden, die auf kritische Infrastruktureinrichtungen abzielen, ist es entscheidend, kontinuierlich die Cyber-Wachsamkeit zu stärken und die Abwehr zu festigen. Mit kompletten Produktpaket von SOC Prime für KI-gestütztes Detection Engineering, automatisierte Bedrohungserkennung und -validierung, können Verteidiger das Risiko von Eindringlingen minimieren und den Wert von Sicherheitsinvestitionen maximieren.