CISA: Black Basta fidye yazılımı 500’den fazla kuruluşu etkiledi

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan yeni danışman belgesine göre Black Basta fidye yazılımı grubunun Kuzey Amerika, Avrupa ve Avustralya’daki kritik altyapı kuruluşları da dahil olmak üzere dünya çapında 500’den fazla kuruluşu hedef aldığını belirtti.

CISA, FBI, HHS ve MS-ISAC tarafından ortaklaşan oluşturulup yayınlanan yeni danışman belgesine göre Black Basta’ya bağlı kuruluşlar, sağlık kurumları da dahil olmak üzere 16 kritik altyapı sektöründen 12’sine saldırılar düzenledi. CISA, hassas ve yüksek değerli kuruluşlara ilk erişim sağlamak için tehdit aktörlerinin genellikle hedef odaklı kimlik avı ve yazılım açıklarından yararlandığını belirtiyor.

Rapid7 araştırmacılarının yeni bulgularına göre Black Basta bağlı kuruluşlarının en azından bir kısmının hedefledikleri kurbanlara yönelik çok sayıda spam e-posta gönderip, ardından onları ulaşarak teknik yardım teklif ettiğini gözlemlemiş. Kurbanlar, teklifi kabul ettikleri andan itibaren saldırılar başlamış.

Araştırmacılar, hedeflenen kurbanlara yönelik temel spam korumalarını aşmaya yetecek kadar bir e-posta dalgasıyla ilk aşamanın başladığını fark etmiş. Gönderilen  e-postaların çoğunun gerçek kuruluşlara ait haber bültenlerine kaydolma bildirimlerinden oluştuğu belirtiliyor. BT personeli gibi davranıp hedeften AnyDesk yada Windows’un uzaktan destek aracı indirmesi gerektiğini belirtiyorlar ve başarılı bir sosyal mühendislik saldırısı sonrasında kurbanı yönlendirerek içeriye sızmış oluyorlar.

Araştırmacılar, saldırganların bazı kimlik bilgilerini topladığını gözlemlemiş olsalar da özellikle herhangi bir toplu veri sızıntısı veya gasp örneğini tespit etmemişler.