Black Basta ransomware napad je očito omeo poslovne aktivnosti švicarske multinacionalne korporacije ABB, poznatog dobavljača tehnologija za elektrifikaciju i automatizaciju. ABB ima sjedište u Cirihu, u Švicarskoj, a 2022. godine očekuje da će ostvariti prodaju od 29,4 milijarde dolara zahvaljujući svojim zaposlenim, njih čak 105.000.
Razvoj sistema industrijskog upravljanja (ICS) i sistema nadzora i akvizicije podataka (SCADA) su jedna od ponuda kompanije za proizvodni i energetski sektor. Kompanije poput Volva i Hitachi-a, kao i opštine kao što su Nashville i Zaragoza, su među brojnim klijentima firme.
Prema web stranici kompanije, “ABB upravlja sa više od 40 inžinjerskih, proizvodnih, istraživačkih i servisnih objekata sa sjedištem u SAD-u s dokazanim iskustvom u opsluživanju raznih saveznih agencija.” Ove agencije uključuju SAD Inženjerski korpus vojske i Ministarstvo odbrane, transporta, energetike SAD-a, obalske straže i poštanske službe. Kompaniju je napala Black Basta, grupa kibernetičkih kriminalaca koja se prvi put pojavila u aprilu 2022. godine, u ransomware napadu 7. maja.
Prema nekoliko izvora unutar organizacije, stotine računara su kompromitovane kao rezultat ransomware napada na Windows Active Directory. Nakon što je otkrio upad, ABB je svojim korisnicima prekinuo VPN pristup kako bi zaustavio širenje malicioznog softvera.
Nezavisni izvor, koji je želio ostati anoniman, potvrdio je napad. Prema izvještajima, napad je izazvao kašnjenja u projektima i uticao na fabrike. Bleeping Computer se obratio ABB-u za komentar o napadu, ali su oni odbili.
Već u aprilu 2022. godine, ransomware grupa Black Basta je već počela prikupljati korporativne žrtve putem napada dvostruke iznude, nakon što je pokrenula svoju operaciju Ransomware-as-a-Service (RaaS).
Black Basta i operacija malicioznog softvera QBot (QakBot) udružili su snage kako bi distribuisali Cobalt Strike na pogođene uređaje do juna 2022. godine. Cobalt Strike bi zatim koristio Black Basta-u za infiltrovanje u poslovnu mrežu i lateralno proširenje na više uređaja.
Black Basta, kao i druge ransomware kampanje usmjerene na poslovanje, razvio je Linux enkriptor za zaključavanje VMware ESXi virtuelnih mašina smještenih na Linux serverima. FIN7, takođe poznat kao Carbanak, je financijski vođena kriminalna organizacija koju su istraživači povezivali s ransomware bandom.
Napadi na American Dental Association, Sobeys, Knauf i Yellow Pages Canada samo su neke od meta kampanje hakera od njenog početka.
ABB sarađuje sa vladama i preduzećima na izgradnji industrijskih kontrolnih i SCADA sistema za proizvodnju i snabdjevače energijom. Projekti i fabrike su odloženi zbog napada na kompanijski Windows Active Directory. ABB je suspendovao VPN veze sa svojim klijentima kako bi spriječio širenje malicioznog softvera.
U aprilu 2022. godine Black Basta se udružio s QBot-om kako bi kreirao Ransomware-as-a-Service.
Izvor: InformationSecurityBUZZ