El ransomware Black Basta violó más de 500 organizaciones
CISA y el FBI dijeron hoy que los afiliados de ransomware Black Basta violaron más de 500 organizaciones entre abril de 2022 y mayo de 2024.
En un informe conjunto publicado en colaboración con el Departamento de Salud y Servicios Humanos (HHS, por sus siglas en inglés) y el Centro Multiestatal de Análisis e Intercambio de Información (MS-ISAC, por sus siglas en inglés), las dos agencias federales agregaron que la pandilla también encriptó y robó datos de al menos 12 de los 16 sectores de infraestructura crítica.
"Los afiliados de Black Basta se han dirigido a más de 500 entidades de la industria privada y de infraestructura crítica, incluidas organizaciones de atención médica, en América del Norte, Europa y Australia", dijo CISA.
{getCard} $type={post} $title={Recomendado}
Black Basta surgió como una operación de ransomware como servicio (RaaS) en abril de 2022. Desde entonces, sus filiales han violado a muchas víctimas de alto perfil, incluido el contratista de defensa alemán Rheinmetall, la división europea de Hyundai, la empresa de subcontratación de tecnología del Reino Unido Capita, la empresa de automatización industrial y contratista gubernamental ABB, la Biblioteca Pública de Toronto, la Asociación Dental Americana, Sobeys, Knauf y Yellow Pages Canada.
Después de que el sindicato de ciberdelincuencia Conti cerrara en junio de 2022 tras una serie de vergonzosas filtraciones de datos, se dividió en varios grupos, uno de los cuales se cree que es Black Basta.
"El prolífico ataque del grupo de amenazas a al menos 20 víctimas en sus primeras dos semanas de operación indica que tiene experiencia en ransomware y tiene una fuente constante de acceso inicial", dijo el equipo de seguridad del Departamento de Salud y Servicios Humanos en un informe de marzo de 2023.
{getCard} $type={post} $title={Recomendado}
"El nivel de sofisticación de sus competentes operadores de ransomware, y la renuencia a reclutar o anunciarse en foros de la Dark Web, respalda por qué muchos sospechan que el naciente Black Basta puede incluso ser un cambio de marca del grupo de amenazas RaaS de habla rusa Conti, o también vinculado a otros grupos de amenazas cibernéticas de habla rusa".
Según una investigación de Elliptic y Corvus Insurance, esta banda de ransomware vinculada a Rusia también ha recaudado al menos 100 millones de dólares en pagos de rescate de más de 90 víctimas hasta noviembre de 2023.
El aviso conjunto también proporciona a los defensores tácticas, técnicas y procedimientos (TTP) e indicadores de compromiso (IOC) utilizados por los afiliados negros de Basta e identificados durante las investigaciones del FBI.
Los defensores deben mantener actualizados los sistemas operativos, el software y el firmware, exigir la autenticación multifactor (MFA) resistente al phishing para tantos servicios como sea posible y capacitar a los usuarios para que reconozcan y denuncien los intentos de phishing para mitigar los riesgos de ataque de ransomware Black Basta.
También deben proteger el software de acceso remoto mediante la aplicación de mitigaciones recomendadas por la CISA, la realización de copias de seguridad de las configuraciones de los dispositivos y los sistemas críticos con la mayor frecuencia posible para permitir reparaciones y restauraciones más rápidas, e implementar las mitigaciones compartidas en la Guía StopRansomware.
Las agencias destacaron específicamente el aumento de los riesgos a los que se enfrentan las organizaciones sanitarias por esta operación de ransomware y les instaron a garantizar que se apliquen estas mitigaciones recomendadas para bloquear posibles ataques.
"Las organizaciones de atención médica son objetivos atractivos para los actores de la ciberdelincuencia debido a su tamaño, dependencia tecnológica, acceso a la información de salud personal e impactos únicos de las interrupciones de la atención al paciente", advirtieron CISA y el FBI.
"Las organizaciones autoras instan al Sector HPH y a todas las organizaciones de infraestructura crítica a aplicar las recomendaciones de la sección Mitigaciones de este CSA para reducir la probabilidad de compromiso de Black Basta y otros ataques de ransomware".
Si bien las agencias federales no compartieron lo que provocó el aviso de hoy, Black Basta fue vinculado esta semana a un presunto ataque de ransomware que afectó a los sistemas del gigante de la salud Ascension, lo que obligó a la red de atención médica de EE. UU. a redirigir las ambulancias a instalaciones no afectadas.