برنامج الفدية Black Bas يخترق 500 منظمة حول العالم

قالت CISA ومكتب التحقيقات الفيدرالي اليوم إن الشركات التابعة لبرنامج Black Basta Ransomware اخترقت أكثر من 500 منظمة بين أبريل 2022 ومايو 2024.

وفي تقرير مشترك نُشر بالتعاون مع وزارة الصحة والخدمات الإنسانية (HHS) ومركز تبادل وتحليل المعلومات متعدد الولايات (MS-ISAC)، أضافت الوكالتان الفيدراليتان أن العصابة قامت أيضًا بتشفير وسرقت البيانات من ما لا يقل عن 12 من أصل 16 قطاعًا حيويًا للبنية التحتية.

وقالت CISA: "استهدفت الشركات التابعة لشركة Black Basta أكثر من 500 شركة خاصة وكيانات البنية التحتية الحيوية، بما في ذلك منظمات الرعاية الصحية، في أمريكا الشمالية وأوروبا وأستراليا".

اليوروبول يؤكد اختراق البوابة الإلكترونية، ويقول إنه لم تتم سرقة أي بيانات تشغيلية
ظهرت Black Basta كبرنامج طلب فدية كخدمة (RaaS) في أبريل 2022. ومنذ ذلك الحين، اخترقت الشركات التابعة لها العديد من الضحايا البارزين، بما في ذلك مقاول الدفاع الألماني Rheinmetall، والقسم الأوروبي لشركة Hyundai، وشركة Capita البريطانية لالاستعانة بمصادر خارجية للتكنولوجيا، وشركة الأتمتة الصناعية. والمقاول الحكومي ABB، ومكتبة تورونتو العامة، والجمعية الأمريكية لطب الأسنان، وSobeys، وKnauf، وYellow Pages Canada.

بعد إغلاق نقابة كونتي للجرائم الإلكترونية في يونيو 2022 بعد سلسلة من خروقات البيانات المحرجة، انقسمت إلى مجموعات متعددة، يُعتقد أن إحدى هذه الفصائل هي بلاك باستا.

وقال الفريق الأمني التابع لوزارة الصحة والخدمات الإنسانية في تقرير صدر في مارس 2023: "إن الاستهداف الغزير لمجموعة التهديد لما لا يقل عن 20 ضحية في أول أسبوعين من عملها يشير إلى أنها من ذوي الخبرة في برامج الفدية ولديها مصدر ثابت للوصول الأولي". .

"إن مستوى التطور الذي يتمتع به مشغلو برامج الفدية الماهرون، والإحجام عن التجنيد أو الإعلان في منتديات الويب المظلم، يدعم السبب الذي يجعل الكثيرين يشتبهون في أن Black Basta الناشئ قد يكون حتى علامة تجارية جديدة لمجموعة التهديد RaaS الناطقة بالروسية، أو مرتبطًا أيضًا بمجموعات أخرى. مجموعات التهديد السيبراني الناطقة بالروسية."

وفقًا لبحث Elliptic وCorvus Insurance، حصلت عصابة برامج الفدية المرتبطة بروسيا أيضًا على ما لا يقل عن 100 مليون دولار من مدفوعات الفدية من أكثر من 90 ضحية حتى نوفمبر 2023.

توفر الاستشارة المشتركة أيضًا تكتيكات وتقنيات وإجراءات المدافعين (TTPs) ومؤشرات التسوية (IOCs) التي تستخدمها الشركات التابعة لـ Black Basta والتي تم تحديدها أثناء تحقيقات مكتب التحقيقات الفيدرالي.

يجب على المدافعين الحفاظ على تحديث أنظمة التشغيل والبرامج والبرامج الثابتة، وطلب المصادقة متعددة العوامل المقاومة للتصيد الاحتيالي (MFA) لأكبر عدد ممكن من الخدمات، وتدريب المستخدمين على التعرف على محاولات التصيد الاحتيالي والإبلاغ عنها للتخفيف من مخاطر هجوم برنامج الفدية Black Basta .

يجب عليهم أيضًا تأمين برامج الوصول عن بعد من خلال تطبيق إجراءات التخفيف الموصى بها من قبل CISA، وعمل نسخ احتياطية لتكوينات الجهاز والأنظمة المهمة كلما كان ذلك ممكنًا لتمكين الإصلاحات والاستعادة بشكل أسرع، وتنفيذ عمليات التخفيف المشتركة في دليل StopRansomware.

وسلطت الوكالات الضوء على وجه التحديد على المخاطر المتزايدة التي تواجهها مؤسسات الرعاية الصحية من عملية برامج الفدية هذه، وحثتها على ضمان تطبيق إجراءات التخفيف الموصى بها لمنع الهجمات المحتملة.

وحذرت CISA ومكتب التحقيقات الفيدرالي من أن "مؤسسات الرعاية الصحية تعد أهدافًا جذابة للجهات الفاعلة في مجال الجرائم الإلكترونية نظرًا لحجمها واعتمادها التكنولوجي وإمكانية الوصول إلى المعلومات الصحية الشخصية والتأثيرات الفريدة الناجمة عن اضطرابات رعاية المرضى".

"تحث المنظمات المؤلفة قطاع HPH وجميع مؤسسات البنية التحتية الحيوية على تطبيق التوصيات الواردة في قسم التخفيف من CSA لتقليل احتمالية التعرض للتسوية من Black Basta وهجمات برامج الفدية الأخرى."

في حين أن الوكالات الفيدرالية لم تشارك ما دفع إلى إصدار الاستشارة اليوم، فقد تم ربط Black Basta هذا الأسبوع بهجوم فدية مشتبه به ضرب أنظمة شركة الرعاية الصحية العملاقة Ascension، مما أجبر شبكة الرعاية الصحية الأمريكية على إعادة توجيه سيارات الإسعاف إلى المرافق غير المتضررة.

وفي يوم الجمعة، أصدر مركز Health-ISAC (مركز تبادل المعلومات والتحليل) أيضًا نشرة تهديد تحذر من أن عصابة Black Basta Ransomware "قامت مؤخرًا بتسريع الهجمات ضد قطاع الرعاية الصحية".