Détection d’Activité de Black Basta : FBI, CISA & Partenaires Alertent sur l’Augmentation des Attaques de Ransomware Ciblant les Secteurs d’Infrastructure Critiques, y Compris la Santé
Table des matières :
Depuis mai 2024, les opérateurs du rançongiciel malveillant Black Basta ont compromis plus de 500 organisations mondiales. En réponse à l’escalade des menaces, les principales agences de cybersécurité américaines et mondiales ont publié un avis conjoint de cybersécurité avertissant les défenseurs de l’activité croissante du groupe, qui a déjà affecté des dizaines d’organisations d’infrastructure critique, y compris le secteur de la santé.
Détection des infections par le rançongiciel Black Basta
Avec plus de 300 millions de tentatives d’attaques par rançongiciel détectées uniquement en 2023, la menace de rançongiciel demeure l’un des principaux défis pour les défenseurs en cybersécurité. Bien que le Black Basta RaaS soit un acteur relativement nouveau sur la scène cyber, le collectif malveillant a impacté des centaines d’organisations de haut profil à travers le monde, cherchant des gains financiers.
Pour rester proactif et détecter les attaques possibles dès les premiers stades de développement, les professionnels de la sécurité pourraient explorer la dernière alerte CSA détaillant les TTPs et outils de Black Basta. De plus, les praticiens en cybersécurité pourraient s’appuyer sur la plateforme SOC Prime pour une défense collective contre le cyber qui offre un ensemble de règles Sigma sélectionnées abordant les méthodes d’attaque décrites dans l’avis AA24-131A. Il suffit de cliquer sur le bouton Explorer les Détections et d’accéder immédiatement à une pile de détection pertinente.
Toutes les règles sont compatibles avec plus de 30 technologies SIEM, EDR et Data Lake et sont cartographiées au cadre MITRE ATT&CK® version v14.1. En outre, les détections sont enrichies de métadonnées étendues, y compris des liens CTI, des références ATT&CK, des chronologies d’attaque, et plus encore.
Les professionnels de la sécurité cherchant un contexte supplémentaire sur les TTPs de Black Basta et désireux d’analyser les attaques rétrospectivement peuvent rechercher plus de règles Sigma liées dans le Marketplace de Détection des Menaces à l’aide du tag “Black Basta”.
Analyse des attaques du rançongiciel Black Basta
Les acteurs de la menace Black Basta sont sous les projecteurs depuis au moins le printemps 2022 opérant comme un RaaS et ciblant principalement de nombreuses entreprises et organisations d’infrastructure critique en Amérique du Nord, en Europe et en Australie. Selon l’avis conjoint de cybersécurité AA24-131A, pour une période de 2 ans d’activité adversaire active, le groupe a affecté plus de 500 organisations à travers le monde, ce qui souligne le besoin d’une sensibilisation accrue à la cybersécurité et de mesures de défense proactive. joint Cybersecurity Advisory AA24-131A, for a 2-year period of active adversary activity, the group has affected more than 500 organizations from across the world, which underscores the need for increased cybersecurity awareness and proactive defensive measures.
Le FBI, la CISA et leurs partenaires ont partagé des informations sur les attaques de rançongiciel en cours, avec au moins une douzaine d’entités d’infrastructures critiques exposées à des chiffrages de données et exfiltrations par des adversaires, y compris le secteur de la santé.
Pour un accès initial, Black Basta utilise couramment le phishing et exploite des failles de sécurité connues. De plus, les adversaires emploient une approche de double extorsion, qui implique à la fois le chiffrement des systèmes et l’extraction de données. Au lieu d’envoyer des demandes de rançon initialement ou des directives de paiement, Black Basta fournit aux victimes un code unique et les invite à contacter le groupe de rançongiciel via une URL personnalisée accessible via le navigateur Tor.
Pour les besoins de scanning de réseau, Black Basta utilise des outils comme SoftPerfect (netscan.exe) etpour les procédures de reconnaissance, les adversaires exploitent couramment des utilitaires aux noms de fichiers apparemment inoffensifs, tels que Intel ou Dell.
Pour se déplacer latéralement à travers les réseaux exposés, les affiliés de Black Basta dépendent d’utilitaires comme BITSAdmin, PsExec, et RDP. Ils peuvent également utiliser Splashtop, ScreenConnect, et les balises Cobalt Strike pour un accès à distance. Pour l’escalade des privilèges, Black Basta utilise des utilitaires de récupération d’identifiants comme Mimikatz et peut également tirer parti de l’exploitation de vulnérabilités, par exemple en abusant de ZeroLogon, CVE-2021-42287, ou des failles de sécurité connues PrintNightmare.
Le groupe rançongiciel Black Basta utilise RClone pour voler des données des systèmes compromis. Avant l’exfiltration des données, ils ont tendance à échapper à la détection via PowerShell et l’utilitaire Backstab. Ils encryptent ensuite les fichiers en utilisant l’algorithme ChaCha20 avec une clé publique RSA-4096, ajoutent une extension de fichier aléatoire, et laissent une note de rançon intitulée readme.txt tout en entravant la reprise du système.
En raison de leur grande taille, de leur forte dépendance à la technologie, et de leur accès à des données sensibles, les organisations de santé restent des cibles attrayantes pour le gang de rançongiciels Black Basta. Pour réduire les risques de violations, les défenseurs recommandent aux organisations critiques d’installer toutes les mises à jour logicielles et micrologicielles nécessaires, d’appliquer une authentification multifactorielle, de sécuriser les outils d’accès à distance, et de maintenir des sauvegardes des systèmes critiques et des configurations d’appareil pour faciliter les procédures de reprise. La CISA et ses partenaires recommandent également d’appliquer les atténuations générales fournies dans le Guide #StopRansomware pour éliminer l’impact et la probabilité d’attaques par ransomware et de menaces d’extorsion de données.
Avec l’augmentation des attaques attribuées à Black Basta et à d’autres affiliés de rançongiciels ciblant des organisations d’infrastructure critique, il est vital de renforcer continuellement la vigilance cybernétique et de fortifier les défenses. Avec l’ensemble complet de produits SOC Prime pour l’Ingénierie de Détection propulsée par l’IA, la Chasse aux Menaces Automatisée et la Validation des Piles de Détection, les défenseurs peuvent minimiser les risques d’intrusions et maximiser la valeur des investissements en sécurité.