A aviso conjunto sobre segurança cibernética foi emitido em 10 de maio pelo Federal Bureau of Investigation (FBI), pela Cybersecurity and Infrastructure Security Agency (CISA), pelo Department of Health and Human Services (HHS) e pelo Multi-State Information Sharing and Analysis Center (MS-ISAC) sobre o Black Basta, uma variante de ransomware identificada em abril de 2022. O uso do Black Basta está aumentando em campanhas criminosas direcionadas e foi usado contra mais de 500 organizações em todo o mundo que operam em 12 dos 16 setores de infraestrutura crítica dos EUA.
As organizações de prestação de serviços de saúde (HDOs), em particular, são advertidas no comunicado; os agentes de ransomware favoreceram o direcionamento para HDOs devido à sua dependência de tecnologia legada e em fim de vida útil, ao manuseio de informações pessoais dos pacientes e ao impacto que qualquer tempo de inatividade de sistemas críticos teria sobre o atendimento ao paciente.
O aviso descreve táticas, técnicas, procedimentos (TTPs) e indicadores de comprometimento (IOCs) resumidos aqui:
Normalmente, o acesso inicial é obtido por meio de spearphishing contra usuários-alvo.
Os afiliados da Black Basta usam ferramentas de varredura de rede para reconhecimento de sistemas-alvo para movimentação lateral, empregando ferramentas como o Remote Desktop Protocol (RDP) e outras ferramentas de acesso remoto.
Para o aumento de privilégios, eles utilizam ferramentas de raspagem de credenciais, como o Mimikatz.
Vulnerabilidades exploradas conhecidas (KEV), como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 e CVE-2021-4228) e PrintNightmare (CVE-2021-34527), são exploradas com frequência.
Esse ataque emprega um modelo de dupla extorsão, criptografando sistemas e exfiltrando dados para pagamento de resgate para desbloquear e recuperar os dados roubados. Isso torna os sistemas que dependem do software Windows, incluindo dispositivos clínicos em hospitais e ativos de tecnologia operacional (TO), como estações de trabalho de engenharia, interfaces homem-máquina (HMIs) e historiadores em ambientes industriais, particularmente vulneráveis.
Para os clientes que utilizam as ofertas xDome, Medigate ou Continuous Threat Detection do Claroty, nossos produtos são atualizados com os IPs e domínios maliciosos mais recentes, acionando alertas para qualquer comunicação maliciosa detectada, se você estiver aproveitando os recursos de detecção de ameaças da oferta. Recomendamos o monitoramento de alertas relacionados ao Mimikatz, à varredura de rede ou à comunicação RDP. Além disso, é recomendável aplicar patches nos KEVs visados. Se a aplicação de patches não for viável, é fundamental implementar controles de compensação para limitar a capacidade do invasor de explorar e aumentar os privilégios nos sistemas-alvo. O site Claroty recomenda a utilização de uma solução de acesso seguro a sistemas físicos cibernéticos para conectividade remota a ambientes críticos.
