5月11日（上周六），CISA 和FBI表示，Black Basta 勒索軟件的附屬組織在 2022 年 4 月至 2024 年 5 月期間入侵了 500 多個組織。

美國衛(wèi)生與公眾服務(wù)部（HHS）和多州信息共享與分析中心（MS-ISAC）合作發(fā)布的聯(lián)合報告中提到，該團伙還加密并竊取了16個關(guān)鍵基礎(chǔ)設(shè)施部門中至少12個部門的數(shù)據(jù)。

CISA 表示：Black Basta 的附屬組織已將目標鎖定在北美、歐洲和澳大利亞的 500 多家私營企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施實體，其中包括醫(yī)療保健組織。

Black Basta 最早于 2022 年 4 月以勒索軟件即服務(wù)（RaaS）的形式出現(xiàn)。近幾年來其附屬公司入侵了多家知名企業(yè)、機構(gòu)，包括德國國防承包商萊茵金屬、現(xiàn)代汽車歐洲分部、英國技術(shù)外包公司 Capita、工業(yè)自動化公司和政府承包商 ABB、多倫多公共圖書館、美國牙醫(yī)協(xié)會、索比斯、可耐福和加拿大黃頁等。

2022 年 6 月，Conti 網(wǎng)絡(luò)犯罪集團在歷經(jīng)了一系列數(shù)據(jù)泄露事件發(fā)生后正式關(guān)閉，然后分裂成多個集團， Black Basta就是其中之一。

2023 年 3 月，衛(wèi)生與公眾服務(wù)部的安全團隊在一份報告中提到：該威脅組織在最初運作的兩周內(nèi)就大量攻擊了至少 20 名受害者，這表明它在勒索軟件方面經(jīng)驗豐富，并擁有穩(wěn)定的初始訪問來源。

不少人懷疑該組織與俄羅斯網(wǎng)絡(luò)威脅組織有所關(guān)聯(lián)。主要是因為其精通勒索軟件的復(fù)雜程度，同時該組織也很少會在暗網(wǎng)論壇上招募或做廣告，不少人認為該組織可能是RaaS 威脅組織 Conti 的再版。

根據(jù) Elliptic 和 Corvus Insurance 的研究，在 2023 年 11 月之前，這個與俄羅斯有關(guān)聯(lián)的勒索軟件團伙還從 90 多名受害者那里收取了至少 1 億美元的贖金。

截至 2023 年 6 月的攻擊次數(shù)和贖金支付情況

聯(lián)合咨詢還為防御者提供了 Black Basta 關(guān)聯(lián)公司使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 以及在聯(lián)邦調(diào)查局調(diào)查中發(fā)現(xiàn)的破壞指標 (IOC)。

防御者應(yīng)及時更新操作系統(tǒng)、軟件和固件，要求盡可能多的服務(wù)采用防網(wǎng)絡(luò)釣魚的多因素身份驗證（MFA），并培訓(xùn)用戶識別和報告網(wǎng)絡(luò)釣魚企圖，以降低 Black Basta 勒索軟件的攻擊風險。

他們還應(yīng)該通過應(yīng)用 CISA 推薦的緩解措施來確保遠程訪問軟件的安全，盡可能頻繁地備份設(shè)備配置和關(guān)鍵系統(tǒng)，以便更快地進行修復(fù)和恢復(fù)，并實施《StopRansomware 指南》中分享的緩解措施。

這些機構(gòu)特別強調(diào)了醫(yī)療保健機構(gòu)在此次勒索軟件行動中面臨的更大風險，并敦促它們確保采用這些建議的緩解措施來阻止?jié)撛诘墓簟?/p>

CISA 和 FBI 警告稱：醫(yī)療機構(gòu)由于其規(guī)模、對技術(shù)的依賴性、以及對個人健康信息的訪問權(quán)限以及病人護理中斷所造成的獨特影響，成為網(wǎng)絡(luò)犯罪分子的誘人目標。

編寫組織敦促 HPH 部門和所有關(guān)鍵基礎(chǔ)設(shè)施組織應(yīng)用本 CSA 中 "緩解 "部分的建議，以降低遭受 Black Basta 和其他勒索軟件攻擊的可能性。

雖然聯(lián)邦機構(gòu)沒有透露發(fā)布此警告的背后原因，但或許與上周發(fā)生的一起疑似 Black Basta 勒索軟件攻擊事件有關(guān)。據(jù)稱有黑客入侵了醫(yī)療保健巨頭 Ascension 的系統(tǒng)，迫使美國醫(yī)療保健網(wǎng)絡(luò)將救護車轉(zhuǎn)向未受影響的設(shè)施。

5月10日（上周五），Health-ISAC（信息共享與分析中心）也發(fā)布了一份威脅公告，警告Black Basta勒索軟件團伙最近加強對醫(yī)療保健行業(yè)的攻擊。