#StopRansomware : Black Basta Note

#StopRansomware : Black Basta

Cette Cybersecurity Advisory (CSA) vise à fournir des informations sur Black Basta, une variante de ransomware-as-a-service, pour aider les organisations à se protéger. D'abord identifié en avril 2022, Black Basta a touché de nombreuses organisations dans les secteurs d'infrastructure critique à l'échelle mondiale. Les affiliés de Black Basta exploitent des vulnérabilités courantes, telles que des e-mails de phishing et des défauts logiciels, pour accéder aux systèmes des victimes. Ils emploient une tactique de double-extorsion en chiffrant les données et en les volant pour une utilisation future. Les victimes ont un délai pour répondre aux demandes de rançon, généralement communiquées via une URL .onion, ou risquent de voir leurs données publiées sur le site Tor "Basta News". Les acteurs de Black Basta ciblent les organisations de santé en raison de leur nature critique et de leur accès potentiel à des données personnelles sensibles. Les organisations sont fortement encouragées à examiner et à mettre en œuvre les recommandations de mitigation fournies pour renforcer leurs défenses contre Black Basta et d'autres menaces de ransomware similaires. L'avis détaille les tactiques et les techniques de Black Basta, en les cartographiant sur le cadre MITRE ATT&CK pour une compréhension exhaustive. Il expose leurs méthodes d'accès initial, d'élévation de privilèges, d'évasion de défense, d'exécution et des outils utilisés à chaque étape. De plus, le CSA fournit une liste d'indicateurs de compromission (IOCs), y compris des hachages de fichiers associés à Black Basta, aidant les organisations à détecter d'éventuelles infections. Les victimes d'attaques de ransomware Black Basta sont invitées à signaler l'incident au FBI ou à la CISA pour obtenir de l'aide et du soutien.