工信部：关于防范蠕虫病毒PlugX新变种攻击传播的风险提示

标签：工信部，蠕虫病毒

危害国家关基安全！

美政府发布Black Basta勒索软件预警

标签：勒索威胁

安全内参5月14日消息，美国政府警告称，Black Basta勒索软件团伙已经攻击了全球500多家组织，包括北美、欧洲和澳大利亚等地的关键基础设施实体。

Black Basta最早于2022年4月被发现。该团伙采用勒索软件即服务商业模式运作。该模式下，Black Basta的附属机构发动网络攻击，向受害组织部署恶意软件，并按比例领取赎金。

2023年11月，区块链分析公司Elliptic发布的报告估计，Black Basta的附属机构从至少90家受害组织处获得了超过1亿美元的赎金。

据美媒CNN报道称，四位消息人士称，Black Basta勒索软件也是本月针对非营利医疗系统Ascension攻击的幕后黑手。这家天主教组织在美国各地经营着数百家医院，由于攻击事件造成的技术中断，导致被迫拒接救护车、使用纸笔记录并取消非紧急预约。

Black Basta组织常用技战法

根据美国网络安全与基础设施安全局（CISA）、联邦调查局（FBI）、卫生与公共服务部（HHS）以及多州信息共享与分析中心（MS-ISAC）联合发布的最新警报，Black Basta的附属机构已攻击了包括医疗组织在内的12个关键基础设施行业，美国共计16个关键基础设施行业。

网络犯罪分子主要采用钓鱼攻击、利用已知漏洞等手段获得初始访问权限。比如， ConnectWise ScreenConnect严重漏洞CVE-2024-1709，自从2月19日公开披露后，仅几天内就开始被利用。

在侵入受害者网络后，攻击者会部署各种工具进行远程访问、网络扫描、横向移动、权限升级和数据外泄。具体工具包括SoftPerfect、BITSAdmin、PsExec、Mimikatz和RClone。

据观察，Black Basta的附属机构还利用ZeroLogon、NoPac和PrintNightmare等漏洞进行权限升级，滥用远程桌面协议（RDP）进行横向移动，并部署Backstab工具以禁用端点检测和响应（EDR）解决方案。

在窃取受害者的数据后，攻击者会删除卷影副本以阻碍恢复，部署勒索软件对受损系统进行加密，并留下赎金要求。

CISA、FBI、HHS和MS-ISAC在新警报中详细阐述了Black Basta的附属机构采用的战术、技术和程序（TTPs）、威胁指标（IoCs）以及推荐的缓解措施。

四家政府机构指出：“在网络犯罪行为者眼里，医疗组织是极具吸引力的目标，这是因为他们规模较大、有技术依赖性、存有个人健康信息，且患者护理一旦中断即会造成独特影响。作为通知发布机构，我们敦促医疗服务提供者和医院（HPH）行业以及所有关键基础设施组织采用推荐的缓解措施，以降低来自Black Basta和其他勒索软件攻击的威胁。”

2024年1月，黑客研究团队兼咨询机构SRLabs发布了一个免费的解密工具，帮助Black Basta受害者恢复其数据而不必支付赎金。

黑客利用 DNS 隧道技术扫描漏洞并实施攻击

TrkCdn 活动

SecShow 活动