CISA と FBI は本日、Black Basta ランサムウェアの関連組織が 2022 年 4 月から 2024 年 5 月にかけて 500 を超える組織に侵入したと発表した。
保健福祉省(HHS)および複数州情報共有分析センター(MS-ISAC)と共同で発表した報告書の中で、2つの連邦機関は、このギャングが16の重要インフラ部門のうち少なくとも12部門からもデータを暗号化して盗んだと付け加えた。
CISA は、「Black Basta の関連組織は、北米、ヨーロッパ、オーストラリアにおいて、ヘルスケア組織を含む 500 以上の民間企業や重要インフラ事業体を標的としています」と述べている。
連邦政府機関は、本日の勧告のきっかけを共有しなかったが、Black Bastaは今週、医療大手Ascensionのシステムを襲ったランサムウェア攻撃の疑いと関連しており、米国の医療ネットワークは、救急車を影響を受けていない施設にリダイレクトすることを余儀なくされた。
金曜日には、Health-ISAC(情報共有・分析センター)も、Black Bastaランサムウェアのギャングが “最近ヘルスケア・セクターに対する攻撃を加速させている “と警告する脅威速報を発表した。
Black Bastaは2022年4月にRansomware-as-a-Service (RaaS)として登場した。その関連会社はそれ以来、ドイツの防衛請負会社ラインメタル、ヒュンダイのヨーロッパ部門、英国の技術アウトソーシング会社キャピタ、産業オートメーション会社および政府請負会社ABB、トロント公共図書館、米国歯科医師会、Sobeys、Knauf、Yellow Pages Canadaなど、多くの有名な被害者を侵害している。
Contiサイバー犯罪シンジケートは、2022年6月に一連の 恥ずべきデータ漏洩の後に閉鎖された後、複数のグループに分裂し、これらの派閥の1つがBlack Bastaであると考えられている。
保健福祉省のセキュリティチームは、2023年3月の報告書の中で、「この脅威グループは、最初の2週間で少なくとも20人の被害者をターゲットにしていることから、ランサムウェアの経験が豊富で、最初のアクセス源を着実に確保していることがわかる」と述べている。
“その熟練したランサムウェアオペレーターによる洗練されたレベル、およびダークウェブフォーラムでの募集や広告に消極的であることは、多くの人が、新興のBlack Bastaがロシア語を話すRaaS脅威グループContiのリブランドである可能性、あるいは他のロシア語を話すサイバー脅威グループとも関連している可能性さえあると疑う理由を裏付けている。”
EllipticとCorvus Insuranceの調査によると、このロシアに関連したランサムウェア集団は、2023年11月までに90人以上の被害者から少なくとも1億ドルの身代金支払いを得ている。
共同勧告はまた、Black Basta の関連会社が使用し、FBI の調査で特定された戦術、技術、手順(TTP)、および侵害の指標(IOC)を防御者に提供しています。
防御者は、Black Basta ランサムウェア攻撃のリスクを軽減するために、オペレーティング・システム、ソフトウェア、およびファームウェアを最新の状態に保ち、可能な限り多くのサービスに対してフィッシングに耐性のある多要素認証(MFA)を義務付け、フィッシングの試みを認識し報告するようユーザを訓練する必要があります。
また、CISAが推奨する緩和策を適用してリモート・アクセス・ソフトウェアを保護し、デバイスの設定と重要なシステムのバックアップをできるだけ頻繁に取って迅速な修復と復元を可能にし、StopRansomware Guideで共有されている緩和策を実施する必要がある。
両機関は、医療機関がこのランサムウェアの操作によって直面しているリスクの増大を特に強調し、潜在的な攻撃を阻止するためにこれらの推奨される緩和策を確実に適用するよう促した。
CISAとFBIは、「医療機関は、その規模、技術的依存度、個人医療情報へのアクセス、患者ケアの中断によるユニークな影響から、サイバー犯罪者にとって魅力的な標的である」と警告している。
CISA と FBI は警告しています。”CISA の作成者は、HPH セクターとすべての重要なインフラ組織に対し、Black Basta やその他のランサムウェア攻撃による侵害の可能性を低減するために、この CSA の「緩和策」のセクションにある推奨事項を適用するよう求めています。”
Comments