5月11日（上周六），CISA 和FBI表示，Black Basta 勒索軟件的附屬組織在 2022 年 4 月至 2024 年 5 月期間入侵了 500 多個(gè)組織。

美國(guó)衛(wèi)生與公眾服務(wù)部（HHS）和多州信息共享與分析中心（MS-ISAC）合作發(fā)布的聯(lián)合報(bào)告中提到，該團(tuán)伙還加密并竊取了16個(gè)關(guān)鍵基礎(chǔ)設(shè)施部門(mén)中至少12個(gè)部門(mén)的數(shù)據(jù)。

CISA 表示：Black Basta 的附屬組織已將目標(biāo)鎖定在北美、歐洲和澳大利亞的 500 多家私營(yíng)企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施實(shí)體，其中包括醫(yī)療保健組織。

Black Basta 最早于 2022 年 4 月以勒索軟件即服務(wù)（RaaS）的形式出現(xiàn)。近幾年來(lái)其附屬公司入侵了多家知名企業(yè)、機(jī)構(gòu)，包括德國(guó)國(guó)防承包商萊茵金屬、現(xiàn)代汽車歐洲分部、英國(guó)技術(shù)外包公司 Capita、工業(yè)自動(dòng)化公司和政府承包商 ABB、多倫多公共圖書(shū)館、美國(guó)牙醫(yī)協(xié)會(huì)、索比斯、可耐福和加拿大黃頁(yè)等。

2022 年 6 月，Conti 網(wǎng)絡(luò)犯罪集團(tuán)在歷經(jīng)了一系列數(shù)據(jù)泄露事件發(fā)生后正式關(guān)閉，然后分裂成多個(gè)集團(tuán)， Black Basta就是其中之一。

2023 年 3 月，衛(wèi)生與公眾服務(wù)部的安全團(tuán)隊(duì)在一份報(bào)告中提到：該威脅組織在最初運(yùn)作的兩周內(nèi)就大量攻擊了至少 20 名受害者，這表明它在勒索軟件方面經(jīng)驗(yàn)豐富，并擁有穩(wěn)定的初始訪問(wèn)來(lái)源。

不少人懷疑該組織與俄羅斯網(wǎng)絡(luò)威脅組織有所關(guān)聯(lián)。主要是因?yàn)槠渚ɡ账鬈浖膹?fù)雜程度，同時(shí)該組織也很少會(huì)在暗網(wǎng)論壇上招募或做廣告，不少人認(rèn)為該組織可能是RaaS 威脅組織 Conti 的再版。

根據(jù) Elliptic 和 Corvus Insurance 的研究，在 2023 年 11 月之前，這個(gè)與俄羅斯有關(guān)聯(lián)的勒索軟件團(tuán)伙還從 90 多名受害者那里收取了至少 1 億美元的贖金。

截至 2023 年 6 月的攻擊次數(shù)和贖金支付情況

聯(lián)合咨詢還為防御者提供了 Black Basta 關(guān)聯(lián)公司使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 以及在聯(lián)邦調(diào)查局調(diào)查中發(fā)現(xiàn)的破壞指標(biāo) (IOC)。

防御者應(yīng)及時(shí)更新操作系統(tǒng)、軟件和固件，要求盡可能多的服務(wù)采用防網(wǎng)絡(luò)釣魚(yú)的多因素身份驗(yàn)證（MFA），并培訓(xùn)用戶識(shí)別和報(bào)告網(wǎng)絡(luò)釣魚(yú)企圖，以降低 Black Basta 勒索軟件的攻擊風(fēng)險(xiǎn)。

他們還應(yīng)該通過(guò)應(yīng)用 CISA 推薦的緩解措施來(lái)確保遠(yuǎn)程訪問(wèn)軟件的安全，盡可能頻繁地備份設(shè)備配置和關(guān)鍵系統(tǒng)，以便更快地進(jìn)行修復(fù)和恢復(fù)，并實(shí)施《StopRansomware 指南》中分享的緩解措施。

這些機(jī)構(gòu)特別強(qiáng)調(diào)了醫(yī)療保健機(jī)構(gòu)在此次勒索軟件行動(dòng)中面臨的更大風(fēng)險(xiǎn)，并敦促它們確保采用這些建議的緩解措施來(lái)阻止?jié)撛诘墓簟?/p>

CISA 和 FBI 警告稱：醫(yī)療機(jī)構(gòu)由于其規(guī)模、對(duì)技術(shù)的依賴性、以及對(duì)個(gè)人健康信息的訪問(wèn)權(quán)限以及病人護(hù)理中斷所造成的獨(dú)特影響，成為網(wǎng)絡(luò)犯罪分子的誘人目標(biāo)。

編寫(xiě)組織敦促 HPH 部門(mén)和所有關(guān)鍵基礎(chǔ)設(shè)施組織應(yīng)用本 CSA 中 "緩解 "部分的建議，以降低遭受 Black Basta 和其他勒索軟件攻擊的可能性。

雖然聯(lián)邦機(jī)構(gòu)沒(méi)有透露發(fā)布此警告的背后原因，但或許與上周發(fā)生的一起疑似 Black Basta 勒索軟件攻擊事件有關(guān)。據(jù)稱有黑客入侵了醫(yī)療保健巨頭 Ascension 的系統(tǒng)，迫使美國(guó)醫(yī)療保健網(wǎng)絡(luò)將救護(hù)車轉(zhuǎn)向未受影響的設(shè)施。

5月10日（上周五），Health-ISAC（信息共享與分析中心）也發(fā)布了一份威脅公告，警告Black Basta勒索軟件團(tuán)伙最近加強(qiáng)對(duì)醫(yī)療保健行業(yè)的攻擊。