Les attaques du ransomware Black Basta ont touché plus de 500 organisations à travers le monde

L'impact mondial des attaques Black Basta Rnsomware a été vaste, avec plus de 500 organisations victimes de cette activité menaçante. Ce groupe, identifié depuis avril 2022, opère selon le modèle ransomware-as-a-service (RaaS), dans lequel ses filiales exécutent des cyberattaques au nom du groupe, ciblant les infrastructures critiques en Amérique du Nord, en Europe et en Australie. Notamment, les affiliés de Black Basta ont exploité des vulnérabilités telles que CVE-2024-1709 , une faille critique de ConnectWise ScreenConnect, pour obtenir un accès initial aux réseaux des victimes.

Une fois à l'intérieur, ils utilisent divers outils pour l'accès à distance, l'analyse du réseau et l'exfiltration de données, notamment SoftPerfect, PsExec et Mimikatz. Ils sont également connus pour exploiter des vulnérabilités telles que ZeroLogon et PrintNightmare pour une élévation de privilèges, ainsi que pour exploiter le protocole RDP (Remote Desktop Protocol) pour les mouvements latéraux. De plus, le déploiement de l'outil Backstab pour désactiver les solutions de détection et de réponse des points finaux (EDR) ajoute à la sophistication de leurs attaques.

Pour entraver les efforts de récupération, les attaquants suppriment les clichés instantanés de volume avant de chiffrer les systèmes compromis et de laisser une demande de rançon. En réponse à ces menaces, des agences gouvernementales telles que la CISA, le FBI, le HHS et la MS-ISAC ont publié des alertes détaillant les tactiques, techniques et procédures (TTP) de Black Basta, ainsi que les indicateurs de compromission (IoC) et les mesures d'atténuation recommandées.

Les établissements de soins de santé sont particulièrement vulnérables en raison de leur taille, de leur dépendance technologique et de leur accès aux informations personnelles sur la santé. Conscientes de cela, les agences susmentionnées exhortent toutes les entités d'infrastructures critiques, en particulier celles du secteur de la santé, à mettre en œuvre les mesures d'atténuation recommandées pour réduire le risque de compromission provenant de Black Basta et d'attaques de ransomware similaires.

Malgré les défis posés par de telles attaques, des efforts ont été déployés pour venir en aide aux victimes. En janvier 2024, SRLabs a publié un décrypteur gratuit pour aider les victimes de Black Basta à récupérer leurs données sans succomber aux demandes de rançon. De tels efforts ont fonctionné pour certaines victimes de la menace, mais beaucoup ont dû utiliser des ressources anti-malware pour débarrasser leur système de la menace malveillante, en plus d'autres menaces similaires. De telles initiatives mettent en évidence l’approche collaborative nécessaire pour lutter efficacement contre les menaces agressives de ransomware.