Fot: Zdjęcie dodane przez Pixabay: https://www.pexels.com/pl-pl/zdjecie/logo-bezpieczenstwa-60504/
Black Basta – zagrożenie ransomware
Black Basta, działając w modelu ransomware jako usługa (RaaS), stała się poważnym zagrożeniem dla bezpieczeństwa cyfrowego. Od momentu pojawienia się, ugrupowanie to stosuje techniki takie jak phishing i wykorzystanie znanych luk w oprogramowaniu, aby uzyskać pierwszy dostęp do systemów ofiar.
Następnie stosuje model podwójnego wymuszenia, polegający na jednoczesnym szyfrowaniu danych i ich kradzieży.
W przeciwieństwie do innych grup ransomware Black Basta nie pozostawia notatek z żądaniem okupu ani instrukcji płatności. Zamiast tego, ofiary otrzymują unikalny kod i są instruowane, aby skontaktować się z grupą cyberprzestępczą za pośrednictwem ukrytego w sieci Tor adresu URL z rozszerzeniem.onion. Taki sposób działania utrudnia śledzenie i blokowanie działań cyberprzestępców.
Rosnąca aktywność Black Basta
Działalność Black Basta po raz pierwszy zaobserwowano w kwietniu 2022 r. Wówczas grupa użyła złośliwego oprogramowania QakBot jako wektora początkowego. Od tego czasu ugrupowanie pozostaje bardzo aktywne.
Według statystyk zebranych przez Malwarebytes Black Basta była odpowiedzialna za 28 z 373 potwierdzonych ataków ransomware w kwietniu 2024 r. Firma Kaspersky wskazuje, że była to 12. najbardziej aktywna rodzina ransomware w 2023 r., a jej aktywność wzrosła o 41% w pierwszym kwartale 2024 r. w porównaniu do poprzedniego kwartału.
Dowody sugerują, że operatorzy Black Basta są powiązani z inną grupą cyberprzestępczą o nazwie FIN7, która od 2020 r. również prowadzi ataki ransomware. W trakcie ataków Black Basta wykorzystuje różnorodne narzędzia, takie jak skanery sieciowe, sygnalizatory Cobalt Strike oraz narzędzia do ruchu bocznego i eskalacji uprawnień, takie jak Mimikatz i RClone.
Sektor opieki zdrowotnej na celowniku cyberprzestępców
Podmioty zajmujące się opieką zdrowotną są szczególnie atrakcyjnym celem dla cyberprzestępców. Ich duża zależność od technologii, dostęp do wrażliwych danych oraz poważne konsekwencje zakłóceń w opiece nad pacjentami sprawiają, że są one podatne na ataki ransomware.
Agencje bezpieczeństwa, takie jak CISA, FBI, HHS i MS-ISAC, ostrzegają, że Black Basta zaszyfrowała i skradła dane z co najmniej 12 z 16 sektorów infrastruktury krytycznej.
Równocześnie z działalnością Black Basta, inne grupy ransomware, takie jak CACTUS, kontynuują swoje kampanie, wykorzystując luki w zabezpieczeniach oprogramowania do analizy danych w chmurze.
Nowe grupy, takie jak DarkVault, APT73, DoNex i inne, również pojawiają się na horyzoncie, wprowadzając jeszcze większą różnorodność i dynamiczność w ekosystemie ransomware.
Ofiary nie poddają się cyberprzestępcom?
Pomimo rosnącej liczby cyberataków, statystyki pokazują, że coraz mniej ofiar decyduje się na płacenie okupu. W pierwszym kwartale 2024 r. odsetek ofiar, które zapłaciły okup, spadł do rekordowo niskiego poziomu 28%.
Dodatkowo średnia płatność wyniosła dokładnie 381 980 dolarów, co oznacza spadek o 32% w porównaniu do końca 2023 r. Raport Sophos State of Ransomware 2024 wskazuje, że chociaż żądania okupu rosną – to ofiary coraz częściej negocjują niższe kwoty.
Niestety – grupy ransomware wykazują dużą zdolność adaptacji, szybko reagując na działania organów ścigania i zmieniając marki, aby uniknąć wykrycia. Takie podejście potwierdza dynamiczny i odporny charakter grup cyberprzestępczych, które nieustannie dostosowują się do nowych wyzwań.
