5月11日（上周六），CISA 和FBI表示，Black Basta 勒索軟件的附屬組織在 2022 年 4 月至 2024 年 5 月期間入侵了 500 多個組織。

美國衛(wèi)生與公眾服務部（HHS）和多州信息共享與分析中心（MS-ISAC）合作發(fā)布的聯(lián)合報告中提到，該團伙還加密并竊取了16個關鍵基礎設施部門中至少12個部門的數(shù)據(jù)。

CISA 表示：Black Basta 的附屬組織已將目標鎖定在北美、歐洲和澳大利亞的 500 多家私營企業(yè)和關鍵基礎設施實體，其中包括醫(yī)療保健組織。

Black Basta 最早于 2022 年 4 月以勒索軟件即服務（RaaS）的形式出現(xiàn)。近幾年來其附屬公司入侵了多家知名企業(yè)、機構，包括德國國防承包商萊茵金屬、現(xiàn)代汽車歐洲分部、英國技術外包公司 Capita、工業(yè)自動化公司和政府承包商 ABB、多倫多公共圖書館、美國牙醫(yī)協(xié)會、索比斯、可耐福和加拿大黃頁等。

2022 年 6 月，Conti 網絡犯罪集團在歷經了一系列數(shù)據(jù)泄露事件發(fā)生后正式關閉，然后分裂成多個集團， Black Basta就是其中之一。

2023 年 3 月，衛(wèi)生與公眾服務部的安全團隊在一份報告中提到：該威脅組織在最初運作的兩周內就大量攻擊了至少 20 名受害者，這表明它在勒索軟件方面經驗豐富，并擁有穩(wěn)定的初始訪問來源。

不少人懷疑該組織與俄羅斯網絡威脅組織有所關聯(lián)。主要是因為其精通勒索軟件的復雜程度，同時該組織也很少會在暗網論壇上招募或做廣告，不少人認為該組織可能是RaaS 威脅組織 Conti 的再版。

根據(jù) Elliptic 和 Corvus Insurance 的研究，在 2023 年 11 月之前，這個與俄羅斯有關聯(lián)的勒索軟件團伙還從 90 多名受害者那里收取了至少 1 億美元的贖金。

截至 2023 年 6 月的攻擊次數(shù)和贖金支付情況

聯(lián)合咨詢還為防御者提供了 Black Basta 關聯(lián)公司使用的戰(zhàn)術、技術和程序 (TTP) 以及在聯(lián)邦調查局調查中發(fā)現(xiàn)的破壞指標 (IOC)。

防御者應及時更新操作系統(tǒng)、軟件和固件，要求盡可能多的服務采用防網絡釣魚的多因素身份驗證（MFA），并培訓用戶識別和報告網絡釣魚企圖，以降低 Black Basta 勒索軟件的攻擊風險。

他們還應該通過應用 CISA 推薦的緩解措施來確保遠程訪問軟件的安全，盡可能頻繁地備份設備配置和關鍵系統(tǒng)，以便更快地進行修復和恢復，并實施《StopRansomware 指南》中分享的緩解措施。

這些機構特別強調了醫(yī)療保健機構在此次勒索軟件行動中面臨的更大風險，并敦促它們確保采用這些建議的緩解措施來阻止?jié)撛诘墓簟?/p>

CISA 和 FBI 警告稱：醫(yī)療機構由于其規(guī)模、對技術的依賴性、以及對個人健康信息的訪問權限以及病人護理中斷所造成的獨特影響，成為網絡犯罪分子的誘人目標。

編寫組織敦促 HPH 部門和所有關鍵基礎設施組織應用本 CSA 中 "緩解 "部分的建議，以降低遭受 Black Basta 和其他勒索軟件攻擊的可能性。

雖然聯(lián)邦機構沒有透露發(fā)布此警告的背后原因，但或許與上周發(fā)生的一起疑似 Black Basta 勒索軟件攻擊事件有關。據(jù)稱有黑客入侵了醫(yī)療保健巨頭 Ascension 的系統(tǒng)，迫使美國醫(yī)療保健網絡將救護車轉向未受影響的設施。

5月10日（上周五），Health-ISAC（信息共享與分析中心）也發(fā)布了一份威脅公告，警告Black Basta勒索軟件團伙最近加強對醫(yī)療保健行業(yè)的攻擊。