.jpg)
– 随着 Black Basta 勒索软件组织的出现,医疗保健部门面临着新的网络安全威胁,卫生部门网络安全协调中心 (HC3) 在一份威胁简介中发出警告。 该勒索软件组织与 Conti 和 FIN7 有潜在联系,以其对大型组织(包括医疗保健行业的组织)的复杂攻击而闻名。
Black Basta 于 2022 年初首次被发现,它采用双重勒索策略从目标组织窃取敏感数据,利用勒索期间公开披露的威胁。 HC3 表示,该组织在其运营的头两周内针对至少 20 名受害者,其中许多目标是医疗保健和公共卫生部门,展示了其在勒索软件方面的经验和一致的初始访问来源。
Black Basta 在第一年专门针对美国组织,破坏了多个州的健康信息技术、医疗保健服务、实验室、制药和健康计划。 勒索软件组织的攻击还导致从卫生组织、客户和员工那里窃取了千兆字节的个人身份信息 (PII)。
“Black Basta 在 2022 年的大量攻击表明他们将继续攻击和勒索组织,”HC3 在威胁简介中写道。 “随着 RaaS 威胁组织变得越来越多,医疗保健组织应该保持警惕并加强对勒索软件攻击的防御。”
“组织可以采取多项多层措施来最大程度地减少勒索软件攻击的风险和潜在影响。 虽然没有一套具体的建议来阻碍 Black Basta 的自定义功能,但这份威胁概况提供了来自各种网络安全组织和出版物的缓解措施、对策、妥协指标以及其他行动方案的样本。”
根据 HC3 的说法,勒索软件组织可能是出于经济利益的动机。 研究人员观察到,该组织有时甚至要求支付超过数百万美元的赎金。
该组织还避免使用附属公司,只与有限且受信任的网络合作。 尽管存在时间很短,但 Black Basta 已经破坏了多个国家/地区的几个关键基础设施组织,同时基本上未被发现。
总的来说,Black Basta 一直保持低调,并使用类似于 Conti、FIN7、Evil Corp 或 BlackMatter 等其他俄语威胁行为者的策略。 HC3 表示,该组织使用了一种更加深思熟虑和更有针对性的方法,在发动攻击之前计算评估潜在受害者,而不是依赖喷洒和祈祷策略。
例如,研究人员表示,Black Basta 可能是讲俄语的 RaaS 威胁组织 Conti 的一个分支,或者它包括该组织的前成员。 Conti 以使用 RaaS 发起针对关键基础设施的破坏性勒索软件攻击而闻名,特别是在卫生和公共部门。 该集团专注于年收入超过 1 亿美元的公司,并专门从事双重勒索操作,威胁将窃取的数据作为勒索发布。
此外,暗网上的观察者已经注意到数据泄露站点基础设施、支付方式和通信方式之间的相似之处。 推测链接的最后一个原因是 2022 年 2 月泄露的 Conti 聊天记录,暗示 Conti 运营商可能试图通过品牌重塑和在新的勒索软件组织下运营来逃避执法。
研究人员还观察到 Black Basta 与讲俄语的 RaaS 威胁组织 FIN7(也称为 Carbanak、Cobalt Group 或 Carbon Spider)之间的联系。 2022 年 6 月,Sentinel Labs 发现了 FIN7 和 Black Basta 之间的第一个潜在联系,表明黑客活动主义合作的趋势。
具体来说,Black Basta 被发现使用端点检测和响应 (EDR) 规避工具,已知该工具仅由其成员使用。 研究人员在此 EDR 中发现了一个后门,该后门由 FIN7 于 2018 年开发,至今仍在使用。 这个后门连接到 FIN7 经常使用的 IP 地址,进一步表明这两个组织之间可能存在联系。
2022 年,网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和美国特勤局 (USSS) 的联合调查显示,Conti 勒索软件组织对美国至少 16 次网络攻击负责医疗保健实体。
该更新指出,“Conti 网络威胁参与者仍然活跃,据报道,针对美国和国际组织的 Conti 勒索软件攻击数量已上升至 1,000 多次。”
