Hoạt động của tin tặc Black Basta

Trong một báo cáo chung được công bố với sự cộng tác của hai cơ quan của Chính phủ Hoa Kỳ là Bộ Y tế và Dịch vụ Nhân sinh (HHS) cùng Trung tâm phân tích và chia sẻ thông tin đa liên bang (MS-ISAC), chia sẻ rằng nhóm tin tặc mã độc tống tiền Black Basta đã thực hiện mã hóa và đánh cắp dữ liệu từ 12 lĩnh vực cơ sở hạ tầng quan trọng, trong có có chăm sóc sức khỏe và y tế cộng đồng.

Ngoài ra, trong báo cáo này cũng cung cấp các chiến thuật, kỹ thuật và quy trình (TTP) và các chỉ số về sự thỏa hiệp (IOC) thu được từ phân tích Cục Điều tra Liên bang Hoa Kỳ (FBI) cũng như báo cáo từ các công ty bảo mật bên thứ ba.

CISA cho biết: “Các chi nhánh của Black Basta đã nhắm mục tiêu vào hơn 500 tổ chức công nghiệp tư nhân và cơ sở hạ tầng quan trọng, bao gồm các tổ chức chăm sóc sức khỏe ở Bắc Mỹ, châu Âu và Úc”.

Black Basta nổi lên là một nhóm hoạt động theo mô hình Ransomware-as-a-Service (RaaS) vào tháng 4/2022. Các chi nhánh của băng nhóm này kể từ đó đã tấn công nhiều tổ chức khác nhau trên toàn thế giới, bao gồm tập đoàn sản xuất vũ khí Rheinmetall của Đức, nhà sản xuất ô tô Huynhdai Moto Europe, nhà cung cấp dịch vụ phần mềm Capita có trụ sở tại Vương quốc Anh, Thư viện Công cộng Toronto (TPL) của Canada, Hiệp hội Nha khoa Hoa Kỳ, chuỗi cửa hàng bán lẻ Sobeys,…

Sau khi nhóm tội phạm mạng Conti bị đánh sập vào tháng 6/2022, tổ chức này đã chia thành nhiều nhóm nhỏ hoạt động khác nhau, một trong số đó được nhận định là Black Basta. Dựa vào sự phân tích các giao dịch Blockchain, do đó các chuyên gia bảo mật đã phát hiện mối liên hệ giữa hai băng nhóm này.

Trong một báo cáo chung được công bố vào ngày 29/11/2023, công ty cung cấp dịch vụ theo dõi tiền tệ kỹ thuật số Elliptic (Vương quốc Anh) và công ty bảo hiểm mạng Corvus Insurance (Hoa Kỳ) cho biết, nhóm tin tặc Black Basta bị nghi ngờ là một nhánh thành viên của nhóm Contin khét tiếng, đã tống tiền ít nhất 107 triệu USD bằng bitcoin từ hơn 90 nạn nhân, với phần lớn các khoản thanh toán tiền chuộc chuyển đến sàn giao dịch tiền điện tử đình đám Garantex (Nga). Trong đó, khoản tiền chuộc lớn nhất nhận được là 9 triệu USD.

Hình 1. Số vụ tấn công và trả tiền chuộc tống tiền đến tháng 6/2023

Mục tiêu vào các tổ chức chăm sóc sức khỏe

Về hoạt động mới nhất vào đầu tháng 5/2024, nhóm tin tặc Black Basta được cho là có liên quan đến một cuộc tấn công bằng mã độc tống tiền khi tấn công vào hệ thống của gã khổng lồ chăm sóc sức khỏe Ascension của Hoa Kỳ, buộc tổ chức này phải chuyển hướng xe cứu thương đến các cơ sở không bị ảnh hưởng vì sự gián đoạn và ngừng hoạt động của hệ thống sau vụ tấn công trên.

Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và FBI cảnh báo rằng, các tổ chức chăm sóc sức khỏe thường là mục tiêu hấp dẫn đối với tội phạm mạng do quy mô, sự phụ thuộc vào công nghệ, quyền truy cập vào thông tin sức khỏe cá nhân và tác động đặc biệt từ sự gián đoạn chăm sóc bệnh nhân.

Ngày 10/5/2024, Trung tâm phân tích và chia sẻ thông tin y tế (Health-ISAC) cũng đưa ra một bản tin cảnh báo rằng nhóm tin tặc Black Basta gần đây đã gia tăng các cuộc tấn công mã độc tống tiền nhằm vào lĩnh vực chăm sóc sức khỏe.

Khuyến nghị bảo mật

Quản trị viên hệ thống công nghệ thông tin của các tổ chức, doanh nghiệp được khuyến nghị phải luôn cập nhật hệ điều hành, phần mềm và firmware ở phiên bản mới nhất, yêu cầu bật tính năng xác thực đa yếu tố (MFA), đồng thời đào tạo người dùng cách nhận biết và báo cáo các nỗ lực tấn công lừa đảo để giảm thiểu rủi ro tấn công bởi mã độc tống tiền Black Basta cũng như các cuộc tấn công mạng khác.

Ngoài ra, quản trị viên lưu ý nên sao lưu cấu hình thiết bị và các hệ thống quan trọng thường xuyên, đồng thời bảo mật phần mềm truy cập từ xa cũng như triển khai các biện pháp phòng thủ được chia sẻ trong hướng dẫn StopRansomware Guide do CISA ban hành.