С момента своего появления в апреле 2022 года операция Black Basta "Программа-вымогатель как услуга" (RaaS) была нацелена на более чем 500 частных предприятий и объектов критически важной инфраструктуры в Северной Америке, Европе и Австралии.
В совместном отчете, опубликованном Агентством по кибербезопасности и инфраструктурной безопасности (CISA), Федеральным бюро расследований (ФБР), Министерством здравоохранения и социальных служб (HHS) и Межгосударственным центром обмена информацией и анализа (MS-ISAC), ведомства заявили, что злоумышленники зашифровали и похитили данные по меньшей мере из 12 из 16 критически важных секторов инфраструктуры.
"Филиалы Black Basta используют распространенные методы первоначального доступа, такие как фишинг и использование известных уязвимостей, а затем используют модель двойного вымогательства, как системы шифрования, так и эксфильтрации данных", — говорится в бюллетене.
В отличие от других групп вымогателей, уведомления о выкупе, сброшенные в конце атаки, не содержат первоначального требования о выкупе или инструкций по оплате. Скорее, заметки предоставляют жертвам уникальный код и инструктируют их связаться с бандой по URL .onion.
Черный Баста был впервые замечен в дикой природе в апреле 2022 года с использованием QakBot в качестве исходного переносчика и с тех пор остается очень активным участником программы-вымогателя.
Статистика, собранная Malwarebytes, показывает, что группа была связана с 28 из 373 подтвержденных атак программ-вымогателей, имевших место в апреле 2024 года. По данным Kaspersky, это было 12-е по активности семейство в 2023 году. Активность Black Basta также увеличилась в первом квартале 2024 года на 41% по сравнению с предыдущим кварталом.
Есть доказательства, позволяющие предположить, что операторы Black Basta связаны с другой киберпреступной группой, отслеживаемой как FIN7, которая с 2020 года перешла к проведению атак с использованием программ-вымогателей.
Цепочки атак с участием программы-вымогателя опирались на такие инструменты, как SoftPerfect network scanner для сканирования сети, BITSAdmin, Cobalt Strike beacons, ConnectWise ScreenConnect и PsExec для бокового перемещения, Mimikatz для повышения привилегий и RClone для эксфильтрации данных перед шифрованием.
Другие методы , используемые для получения повышенных привилегий, включают использование таких уязвимостей в системе безопасности, как ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 и CVE-2021-42287) и PrintNightmare (CVE-2021-34527).
Отдельные случаи также повлекли за собой развертывание инструмента под названием Backstab для отключения программного обеспечения обнаружения конечных точек и реагирования (EDR). Стоит отметить, что Backstab также использовался филиалами LockBit в прошлом.
Последним шагом является шифрование файлов с использованием алгоритма ChaCha20 с открытым ключом RSA-4096, но не раньше, чем удаляются теневые копии тома с помощью программы vssadmin.exe для предотвращения восстановления системы.
"Организации здравоохранения являются привлекательными объектами для участников киберпреступности из-за их размера, технологической зависимости, доступа к личной медицинской информации и уникальных последствий сбоев в обслуживании пациентов", - заявили агентства.
Разработка происходит в рамках кампании программ-вымогателей CACTUS, продолжающей использовать недостатки безопасности в платформе облачной аналитики и бизнес-аналитики Qlik Sense для получения начального доступа к целевым средам.
Новый анализ, проведенный командой Fox-IT NCC Group, показал, что 3143 сервера по-прежнему подвержены риску CVE-2023-48365 (ak DoubleQlik), причем большинство из них расположено в США, Италии, Бразилии, Нидерландах и Германии по состоянию на 17 апреля 2024 года.
Ситуация с программами-вымогателями постоянно меняется, в первом квартале 2024 года активность снизилась на 18% по сравнению с предыдущим кварталом, в первую очередь из-за операций правоохранительных органов против ALPHV (он же BlackCat) и LockBit.
Поскольку LockBit страдает от значительных репутационных потерь среди аффилированных лиц, есть подозрение, что группа, скорее всего, попытается провести ребрендинг. "Группа программ-вымогателей DarkVault является возможной преемницей LockBit", - заявила компания по кибербезопасности ReliaQuest, ссылаясь на сходство с брендом LockBit.
Некоторые из других новых групп вымогателей, появившихся в последние недели, включают APT73, DoNex, DragonForce, Hunt (вариант программы-вымогателя Dharma / Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt и Shinra.
"Диверсификация" разновидностей программ-вымогателей и "способность быстро адаптироваться и ребрендировать перед лицом неблагоприятных факторов говорит об устойчивом динамичном характере участников угрозы в экосистеме программ-вымогателей", - заявила блокчейн-аналитическая компания Chainalysis, подчеркнув снижение выплат выкупов на 46% в 2023 году.
Это подтверждается выводами Coveware, принадлежащего Veeam, в которых говорится, что доля жертв, решивших заплатить, достигла нового рекордно низкого уровня в 28% в первом квартале 2024 года. Средняя сумма выкупа за указанный период составила 381 980 долларов, что на 32% меньше, чем в 4 квартале 2023 года.
Согласно отчету Sophos о состоянии программ-вымогателей за 2024 год, опубликованному в конце прошлого месяца, в котором были опрошены 5000 организаций по всему миру, значительное число жертв отказались платить первоначальную требуемую сумму.
"1097 респондентов, чья организация заплатила выкуп, поделились фактической выплаченной суммой, показав, что средний платеж увеличился в 5 раз за последний год, с 400 000 до 2 миллионов долларов", - сказали в компании.
"Хотя уровень выплат выкупа увеличился, только 24% респондентов заявили, что их платеж соответствовал первоначальному запросу. 44% заплатили меньше первоначального требования, в то время как 31% заплатили больше".
В совместном отчете, опубликованном Агентством по кибербезопасности и инфраструктурной безопасности (CISA), Федеральным бюро расследований (ФБР), Министерством здравоохранения и социальных служб (HHS) и Межгосударственным центром обмена информацией и анализа (MS-ISAC), ведомства заявили, что злоумышленники зашифровали и похитили данные по меньшей мере из 12 из 16 критически важных секторов инфраструктуры.
"Филиалы Black Basta используют распространенные методы первоначального доступа, такие как фишинг и использование известных уязвимостей, а затем используют модель двойного вымогательства, как системы шифрования, так и эксфильтрации данных", — говорится в бюллетене.
В отличие от других групп вымогателей, уведомления о выкупе, сброшенные в конце атаки, не содержат первоначального требования о выкупе или инструкций по оплате. Скорее, заметки предоставляют жертвам уникальный код и инструктируют их связаться с бандой по URL .onion.
Черный Баста был впервые замечен в дикой природе в апреле 2022 года с использованием QakBot в качестве исходного переносчика и с тех пор остается очень активным участником программы-вымогателя.
Статистика, собранная Malwarebytes, показывает, что группа была связана с 28 из 373 подтвержденных атак программ-вымогателей, имевших место в апреле 2024 года. По данным Kaspersky, это было 12-е по активности семейство в 2023 году. Активность Black Basta также увеличилась в первом квартале 2024 года на 41% по сравнению с предыдущим кварталом.
Есть доказательства, позволяющие предположить, что операторы Black Basta связаны с другой киберпреступной группой, отслеживаемой как FIN7, которая с 2020 года перешла к проведению атак с использованием программ-вымогателей.
Цепочки атак с участием программы-вымогателя опирались на такие инструменты, как SoftPerfect network scanner для сканирования сети, BITSAdmin, Cobalt Strike beacons, ConnectWise ScreenConnect и PsExec для бокового перемещения, Mimikatz для повышения привилегий и RClone для эксфильтрации данных перед шифрованием.
Другие методы , используемые для получения повышенных привилегий, включают использование таких уязвимостей в системе безопасности, как ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 и CVE-2021-42287) и PrintNightmare (CVE-2021-34527).
Отдельные случаи также повлекли за собой развертывание инструмента под названием Backstab для отключения программного обеспечения обнаружения конечных точек и реагирования (EDR). Стоит отметить, что Backstab также использовался филиалами LockBit в прошлом.
Последним шагом является шифрование файлов с использованием алгоритма ChaCha20 с открытым ключом RSA-4096, но не раньше, чем удаляются теневые копии тома с помощью программы vssadmin.exe для предотвращения восстановления системы.
"Организации здравоохранения являются привлекательными объектами для участников киберпреступности из-за их размера, технологической зависимости, доступа к личной медицинской информации и уникальных последствий сбоев в обслуживании пациентов", - заявили агентства.
Разработка происходит в рамках кампании программ-вымогателей CACTUS, продолжающей использовать недостатки безопасности в платформе облачной аналитики и бизнес-аналитики Qlik Sense для получения начального доступа к целевым средам.
Новый анализ, проведенный командой Fox-IT NCC Group, показал, что 3143 сервера по-прежнему подвержены риску CVE-2023-48365 (ak DoubleQlik), причем большинство из них расположено в США, Италии, Бразилии, Нидерландах и Германии по состоянию на 17 апреля 2024 года.
Ситуация с программами-вымогателями постоянно меняется, в первом квартале 2024 года активность снизилась на 18% по сравнению с предыдущим кварталом, в первую очередь из-за операций правоохранительных органов против ALPHV (он же BlackCat) и LockBit.
Поскольку LockBit страдает от значительных репутационных потерь среди аффилированных лиц, есть подозрение, что группа, скорее всего, попытается провести ребрендинг. "Группа программ-вымогателей DarkVault является возможной преемницей LockBit", - заявила компания по кибербезопасности ReliaQuest, ссылаясь на сходство с брендом LockBit.
Некоторые из других новых групп вымогателей, появившихся в последние недели, включают APT73, DoNex, DragonForce, Hunt (вариант программы-вымогателя Dharma / Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt и Shinra.
"Диверсификация" разновидностей программ-вымогателей и "способность быстро адаптироваться и ребрендировать перед лицом неблагоприятных факторов говорит об устойчивом динамичном характере участников угрозы в экосистеме программ-вымогателей", - заявила блокчейн-аналитическая компания Chainalysis, подчеркнув снижение выплат выкупов на 46% в 2023 году.
Это подтверждается выводами Coveware, принадлежащего Veeam, в которых говорится, что доля жертв, решивших заплатить, достигла нового рекордно низкого уровня в 28% в первом квартале 2024 года. Средняя сумма выкупа за указанный период составила 381 980 долларов, что на 32% меньше, чем в 4 квартале 2023 года.
Согласно отчету Sophos о состоянии программ-вымогателей за 2024 год, опубликованному в конце прошлого месяца, в котором были опрошены 5000 организаций по всему миру, значительное число жертв отказались платить первоначальную требуемую сумму.
"1097 респондентов, чья организация заплатила выкуп, поделились фактической выплаченной суммой, показав, что средний платеж увеличился в 5 раз за последний год, с 400 000 до 2 миллионов долларов", - сказали в компании.
"Хотя уровень выплат выкупа увеличился, только 24% респондентов заявили, что их платеж соответствовал первоначальному запросу. 44% заплатили меньше первоначального требования, в то время как 31% заплатили больше".
