Qu'est-ce que le Black Basta Ransomware ?

Le logiciel primé ThreatDown MDR arrête les menaces que les autres ne voient pas.

Explorer le MDR

Introduction

Black Basta serait lié à des groupes cybercriminels bien établis tels que FIN7 et les vestiges du gang Conti ransomware. Ces affiliations suggèrent une lignée d'expertise cybercriminelle avancée. Le groupe a émergé pendant une période de bouleversements dans l'écosystèmedes ransomwares, comblant les vides laissés par d'autres groupes dissous ou restructurés.

Modèle opérationnel et techniques de Black Basta

Comme de nombreux gangs de ransomware modernes, Black Basta fonctionne sur le modèle RaaS, où les affiliés déploient le ransomware en échange d'une part des paiements de la rançon. Cette approche permet à l'équipe principale d'étendre ses opérations en recrutant des affiliés dans le monde entier.

Accès initial et exploitation

Le groupe s'appuie fortement sur des campagnes de phishing et sur l'exploitation de vulnérabilités logicielles connues, telles que des failles dans des outils d'accès à distance comme ConnectWise ScreenConnect et des vulnérabilités comme ZeroLogon et PrintNightmare. Ces exploits lui permettent de s'introduire dans les réseaux cibles.

Outils et tactiques

Black Basta utilise une série d'outils pour l'infiltration de réseaux, le déplacement latéral et l'exfiltration de données. Il s'agit notamment des outils suivants

  • PsExec et SoftPerfect pour les mouvements latéraux.
  • Mimikatz pour la collecte d'identifiants.
  • RClone pour l'exfiltration de données.
  • Scripts PowerShell pour désactiver endpoint protection.

Une fois l'accès établi, Black Basta chiffre les systèmes des victimes et supprime les copies d'ombre afin d'empêcher toute récupération. Il utilise une double tactique d'extorsion, menaçant de divulguer les données volées si la rançon n'est pas payée.

Principaux incidents de Black Basta

  • Attaques contre les établissements de santé : les établissements de santé sont particulièrement vulnérables en raison de leur dépendance à un fonctionnement ininterrompu. Black Basta a pris pour cible des hôpitaux, provoquant des perturbations qui ont menacé les soins prodigués aux patients.
  • Infrastructures critiques : les attaques contre les services publics et les entreprises manufacturières démontrent la capacité et la volonté du groupe de cibler des secteurs ayant un impact social important.
  • Exploits très médiatisés : dans plusieurs cas, Black Basta a exploité des vulnérabilités récemment révélées quelques jours seulement après leur annonce, démontrant ainsi son adaptabilité technique.

Mesures de défense et d'atténuation pour Black Basta

Des agences gouvernementales telles quela CISA, le FBI et le ministère de la Santé et des Services sociaux (HHS) ont publié des avis détaillant les stratégies d'atténuation. Les mesures recommandées comprennent :

  • Gestion régulière des patch management pour corriger les vulnérabilités connues.
  • Segmentation du réseau pour limiter les mouvements latéraux.
  • Des stratégies de sauvegarde robustes pour garantir la récupération sans avoir à payer de rançon.
  • Formation des employés pour réduire la vulnérabilité aux attaques par hameçonnage.

Il est également conseillé aux organisations de mettre en œuvre des solutionsendpoint detection and response EDR), malgré les méthodes connues de Black Basta pour désactiver ces défenses.

Tendances émergentes et préoccupations futures de Black Basta

Le paysage des ransomwares évolue, avec des groupes comme Black Basta qui adaptent continuellement leurs tactiques. L'utilisation de techniques avancées telles que l'exploitationdes vulnérabilités zero-dayet le recours aux menaces internes devrait s'intensifier. De plus, les liens entre ce groupe et d'autres organisations cybercriminelles soulèvent des inquiétudes quant à la collaboration et au partage de connaissances au sein de l'écosystème des ransomwares.

Conclusion

Black Basta représente une menace importante et évolutive dans le paysage de la cybersécurité. Ses opérations sophistiquées, ses tactiques efficaces et sa portée mondiale soulignent l'importance des mesures proactives et de la coopération internationale dans la lutte contre les ransomwares. Alors que le groupe continue d'affiner ses méthodes, les organisations doivent rester vigilantes et mettre en place des cadres de cybersécurité complets afin d'atténuer efficacement les risques.

Pour plus de détails sur les méthodes de Black Basta et les mesures de défense recommandées, consultez les ressources de la CISAet d'autres agences de cybersécurité.

Ressources en vedette

Foire aux questions (FAQ) sur le ransomware Black Basta

Qu'est-ce que le ransomware Black Basta et comment fonctionne-t-il ?

Black Basta est un groupe de ransomware apparu en 2022, qui opère selon un modèle Ransomware-as-a-Service (RaaS). Ses affiliés exécutent les attaques et touchent une part des rançons versées. Le groupe utilise le phishing, exploite les vulnérabilités et déploie des outils tels que PsExec et Mimikatz pour infiltrer les réseaux et exfiltrer les données. Il emploie une stratégie de double extorsion en cryptant les données et en menaçant de divulguer les informations volées.

Quels sont les secteurs les plus touchés par les attaques de Black Basta ?

Black Basta cible un large éventail de secteurs, notamment les soins de santé, l'industrie manufacturière et les infrastructures critiques. Le secteur des soins de santé est particulièrement touché en raison de sa dépendance à l'égard d'opérations continues, ce qui rend les perturbations potentiellement mortelles.

Quelles mesures les organisations peuvent-elles prendre pour se défendre contre Black Basta ?

Les mesures de défense recommandées comprennent la mise à jour régulière et l'application de correctifs aux logiciels, la mise en œuvre de systèmes de détection des points d'extrémité robustes, la conservation de sauvegardes sécurisées et la formation des employés à l'identification des tentatives d'hameçonnage. La segmentation des réseaux et l'utilisation de l'authentification multifactorielle peuvent également réduire les vulnérabilités.