Detecção de Atividades Black Basta: FBI, CISA & Parceiros Alertam sobre o Aumento de Ataques de Ransomware que Visam Setores de Infraestrutura Crítica, Incluindo Saúde
Índice:
A partir de maio de 2024, os nefastos operadores de ransomware Black Basta comprometeram mais de 500 organizações globais. Em resposta às ameaças crescentes, as principais agências de cibersegurança dos EUA e globais emitiram um conselho conjunto de cibersegurança alertando os defensores sobre a crescente atividade do grupo, que já afetou dúzias de organizações de infraestrutura crítica, incluindo o setor de saúde.
Detectando Infecções por Ransomware Black Basta
Com mais de 300 milhões de tentativas de ataque de ransomware detectadas somente em 2023, a ameaça de ransomware continua sendo um dos principais desafios para os defensores cibernéticos. Embora Black Basta RaaS seja um jogador relativamente novo na arena cibernética, o coletivo malicioso impactou centenas de organizações de alto perfil em todo o mundo, buscando ganhos financeiros.
Para permanecer proativo e detectar possíveis ataques nos estágios iniciais de desenvolvimento, profissionais de segurança podem explorar o alerta CSA mais recente detalhando os TTPs e ferramentas do Black Basta. Além disso, praticantes de cibersegurança podem contar com a Plataforma SOC Prime para defesa cibernética coletiva que oferece um conjunto de regras Sigma curadas abordando métodos de ataque descritos no conselho AA24-131A. Basta clicar no botão Explorar Detecções e imediatamente aprofundar-se em um conjunto de detecção relevante.
Todas as regras são compatíveis com mais de 30 tecnologias SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK® v14.1. Além disso, as detecções são enriquecidas com metadados extensivos, incluindo links CTI, referências ATT&CK, cronogramas de ataque e mais.
Profissionais de segurança que buscam contexto adicional sobre os TTPs do Black Basta e desejam analisar ataques retrospectivamente podem buscar mais regras Sigma relacionadas no Threat Detection Marketplace usando a tag “Black Basta”.
Análise de Ataque de Ransomware Black Basta
Os atores de ameaça do Black Basta estão em destaque pelo menos desde a primavera de 2022 operando como um RaaS e principalmente visando numerosas empresas e organizações de infraestrutura crítica na América do Norte, Europa e Austrália. De acordo com o conselho conjunto de Cibersegurança AA24-131A, durante um período de 2 anos de atividade adversária ativa, o grupo afetou mais de 500 organizações em todo o mundo, o que destaca a necessidade de maior conscientização em cibersegurança e medidas defensivas proativas.
FBI, CISA e parceiros compartilharam insights sobre os ataques de ransomware em andamento, com pelo menos uma dúzia de entidades de infraestrutura crítica expostas a criptografia e exfiltração de dados por adversários, incluindo o setor de saúde.
Para o acesso inicial, Black Basta geralmente utiliza phishing e explora falhas de segurança conhecidas. Além disso, os adversários empregam uma abordagem de dupla extorsão, que envolve tanto a criptografia de sistemas quanto a extração de dados. Em vez de enviar uma demanda inicial de resgate ou diretrizes de pagamento, o Black Basta fornece às vítimas um código único e as incita a entrar em contato com o grupo de ransomware por meio de um URL personalizado acessível através do navegador Tor.
Para fins de varredura de rede, Black Basta emprega ferramentas como SoftPerfect (netscan.exe) epara procedimentos de reconhecimento, adversários comumente utilizam utilitários com nomes de arquivos aparentemente inofensivos, como Intel ou Dell.
Para se mover lateralmente através de redes expostas, os afiliados do Black Basta contam com utilitários como BITSAdmin, PsExec e RDP. Eles também podem aproveitar Splashtop, ScreenConnect, e beacons Cobalt Strike para acesso remoto. Para a elevação de privilégios, o Black Basta usa utilitários de raspagem de credenciais como Mimikatz e também pode aproveitar a exploração de vulnerabilidades, por exemplo, abusando da ZeroLogon, CVE-2021-42287, ou falhas de segurança conhecidas como PrintNightmare.
O grupo de ransomware Black Basta utiliza RClone para roubar dados de sistemas comprometidos. Antes da exfiltração de dados, eles tendem a evitar a detecção via PowerShell e a utilidade Backstab. Eles então criptografam arquivos usando o algoritmo ChaCha20 com uma chave pública RSA-4096, anexam uma extensão de arquivo aleatória e deixam uma nota de resgate intitulada readme.txt enquanto dificultam a recuperação do sistema.
Devido ao grande tamanho, alta dependência de tecnologia e acesso a dados sensíveis, as organizações de saúde continuam alvos atraentes para a gangue de ransomware Black Basta. Para reduzir os riscos de violações, os defensores recomendam que organizações críticas instalem todas as atualizações de software e firmware necessárias, apliquem autenticação multifatorial, protejam kits de acesso remoto e mantenham backups de sistemas críticos e configurações de dispositivos para facilitar processos de recuperação. CISA e parceiros também recomendam aplicar mitigações gerais fornecidas no Guia #StopRansomware para eliminar o impacto e a probabilidade de ataques de ransomware e ameaças de extorsão de dados.
Com o aumento dos ataques atribuídos ao Black Basta e outros afiliados de ransomware visando organizações de infraestrutura crítica, é vital fortalecer continuamente a vigilância cibernética e reforçar as defesas. Com a suíte completa de produtos do SOC Prime para Engenharia de Detecção impulsionada por IA, Caça de Ameaças Automatizada e Validação de Conjunto de Detecção, os defensores podem minimizar os riscos de intrusões e maximizar o valor dos investimentos em segurança.