CISA et le FBI ont déclaré aujourd’hui que les affiliés du ransomware Black Basta avaient violé plus de 500 organisations entre avril 2022 et mai 2024.
Dans un rapport conjoint publié en collaboration avec le Ministère de la Santé et des Services sociaux (HHS) et le Centre d’analyse et de Partage d’informations multi-États (MS-ISAC), les deux agences fédérales ont ajouté que le gang avait également crypté et volé des données d’au moins 12 des 16 secteurs d’infrastructures critiques.
« Les affiliés de Black Basta ont ciblé plus de 500 entités du secteur privé et des infrastructures critiques, y compris des organisations de soins de santé, en Amérique du Nord, en Europe et en Australie », a déclaré CISA.
Black Basta est apparu comme une opération de Ransomware en tant que service (RaaS) en avril 2022. Ses affiliés ont depuis violé de nombreuses victimes de premier plan, notamment l’entrepreneur allemand de la défense Rheinmetall, la division européenne de Hyundai, la société britannique d’externalisation technologique Capita, la société d’automatisation industrielle et l’entrepreneur gouvernemental ABB, la Bibliothèque publique de Toronto, l’American Dental Association, Sobeys, Knauf et Pages Jaunes Canada.
Après la fermeture du syndicat de la cybercriminalité Conti en juin 2022 à la suite d’une série de violations de données embarrassantes, il s’est scindé en plusieurs groupes, l’une de ces factions étant supposée être Black Basta.
« Le ciblage prolifique d’au moins 20 victimes par le groupe de menaces au cours de ses deux premières semaines d’activité indique qu’il est expérimenté dans les ransomwares et dispose d’une source constante d’accès initial », a déclaré l’équipe de sécurité du ministère de la Santé et des Services sociaux dans un rapport de mars 2023.
« Le niveau de sophistication de ses opérateurs de ransomwares compétents et leur réticence à recruter ou à faire de la publicité sur les forums du Dark Web expliquent pourquoi beaucoup soupçonnent que le Basta noir naissant pourrait même être une nouvelle image du groupe de menaces russophone RaaS Conti, ou également lié à d’autres groupes de cybermenaces russophones. »
Selon Elliptic et Corvus Insurance research, ce gang de ransomwares lié à la Russie a également récolté au moins 100 millions de dollars de rançons de plus de 90 victimes jusqu’en novembre 2023.
L’avis conjoint fournit également aux défenseurs des tactiques, techniques et procédures (TTP) et des indicateurs de compromission (IOC) utilisés par les affiliés de Black Basta et identifiés lors des enquêtes du FBI.
Les défenseurs doivent maintenir les systèmes d’exploitation, les logiciels et les micrologiciels à jour, exiger une authentification multifacteur (MFA) résistante au phishing pour autant de services que possible, et former les utilisateurs à reconnaître et signaler les tentatives de phishing pour atténuer les risques d’attaque de ransomware Black Basta.
Ils doivent également sécuriser les logiciels d’accès à distance en appliquant les mesures d’atténuation recommandées par la CISA, en effectuant des sauvegardes des configurations des périphériques et des systèmes critiques aussi souvent que possible pour permettre des réparations et une restauration plus rapides, et en mettant en œuvre des mesures d’atténuation partagées dans le Guide StopRansomware.
Les agences ont spécifiquement souligné les risques accrus auxquels les organisations de soins de santé sont confrontées du fait de cette opération de ransomware et les ont exhortées à s’assurer que ces mesures d’atténuation recommandées sont appliquées pour bloquer les attaques potentielles.
« Les organisations de santé sont des cibles attrayantes pour les acteurs de la cybercriminalité en raison de leur taille, de leur dépendance technologique, de leur accès aux informations personnelles sur la santé et des impacts uniques des perturbations des soins aux patients », ont averti la CISA et le FBI.
« Les organisations auteurs exhortent le secteur HPH et toutes les organisations d’infrastructures critiques à appliquer les recommandations de la section Atténuations de cette CSA afin de réduire la probabilité de compromission de Black Basta et d’autres attaques de ransomware. »
Alors que les agences fédérales n’ont pas partagé ce qui a motivé l’avis d’aujourd’hui, Black Basta a été lié cette semaine à une attaque présumée de ransomware qui a frappé les systèmes du géant de la santé Ascension, forçant le réseau de santé américain à rediriger les ambulances vers des établissements non affectés.
Vendredi, Health-ISAC (Centre de partage et d’analyse de l’information) a également publié un bulletin de menaces avertissant que le gang de ransomwares Black Basta « a récemment accéléré les attaques contre le secteur de la santé. »