Эксперты IBM представили подробный анализ вымогательского ПО Black Basta

Команда IBM Security X-Force опубликовала анализ нового вымогательского Black Basta, впервые появившегося в апреле 2022 года. К настоящему времени группировка предположительно атаковала 29 организаций различных сфер деятельности.

Black Basta использует тактику двойного вымогательства – не только шифрует файлы жертвы и требует выкуп за расшифровку, но также похищает данные и угрожает опубликовать их, если выкуп не будет уплачен. Файлы жертв, отказавшихся платить, группировка выкладывает на своем сайте утечек в сети Tor. С целью оказания давления на жертву вымогатели публикуют ее данные порциями.

Группировка Black Basta все еще находится на ранних стадиях развития, и специалисты X-Force пока не обнаружили на хакерских форумах никакой рекламы или предложений сотрудничества. Из-за схожести в операциях и отсутствия попыток привлечь партнеров некоторые эксперты считают , что Black Basta – это ребрендинг печально известной группировки Conti. Эти может объяснить нежелание привлекать новых партнеров, поскольку у Conti их уже и так достаточно. Однако ранее в этом месяце Conti заявила, что не имеет к Black Basta никакого отношения. Специалисты X-Force все еще пытаются установить, так этот или нет.

Вымогательское ПО Black Basta работает так быстро, что безопасники редко успевают заподозрить что-то неладное до того, как файлы организации будут зашифрованы.

Внезапное появление Black Basta и высокий коэффициент успешных заражений являются примером того, как «новые» кибервымогательские группировки быстро могут стать центральной фигурой на киберпреступной арене.

Хотя специалисты X-Force пока еще не установили связь Black Basta с существующими ныне или прошлыми кибервымогательскими операциями, ее влияние за такой короткий промежуток времени свидетельствует об использовании очень эффективных тактик, техник и процедур (TTP), представляющих большую угрозу корпоративным сетям.

Судя по имеющимся в настоящее время данных, Black Basta не атакует какие-то конкретные отрасли или вертикали. Однако организации, собирающие большие объемы данных, являются привлекательными мишенями для кибервымогателей.

Предприятиям рекомендуется установить и поддерживать регулярное резервное копирование, в том числе offline. При этом резервные копии должны храниться отдельно от зон сети, к которым злоумышленники потенциально могут получить доступ «только для чтения».

Также рекомендуется реализовать стратегию по предотвращению кражи данных, в особенности хранящихся на облачных платформах, анализировать поведение сотрудников с целью выявления потенциальных инцидентов безопасности, а также проводить аудит и мониторинг сетей и быстро реагировать на подозрительную активность привилегированных учетных записей и групп.

Кроме того, рекомендуется включить многофакторную аутентификацию для всех удаленных точек доступа к корпоративной сети, а также обезопасить или отключить доступ по RDP-протоколу, которым часто пользуются вымогатели.