Выявлена кампания по атакам на критическую ИТ-инфраструктуру США

Масштабную кампанию по атакам на критическую информационную инфраструктуру США и используемые для этого средства выявлены специалистами компании Rapid7, 13 мая сообщает американское издание об информационных технологиях ARS Technica.

Rapid7 начала расследовать ситуацию в апреле 2024 года. В ходе изучения выяснилось, что с 2022 года свыше 500 организаций США подверглись атаке с использованием подобных средств и методов.

После получения удаленного доступа с помощью методов социальной инженерии в сеть атакуемой организации внедрялся троян-шифровальщик, который относится во всех случаях к одному и тому же семейству с присвоенным исследователями наименованием Black Basta. Причем специалисты считают, что средство кибервымогательства предоставляется как услуга.

Метод социальной инженерии был применен новый. Пользователей атакуемой компании заваливали извне массовыми почтовыми рассылками. Письма не содержали вредоносных вложений, скорее имитировали легальные рассылки. Часть из этого потока не отсекалась фильтрами атакуемой организации.

После проведения «артподготовки» сотрудникам жертвы звонили злоумышленники и представлялись ИТ-специалистами их компании. Они предлагали помощь в защите от надоедливого спама, для чего просили предоставить удаленный доступ. После получения доступа в сеть организации злоумышленники запускали там зловредное ПО Black Bastа, которое шифровало данные в сети компании и уничтожало оригиналы.

Согласно публичной информации от спецслужб США, целями стали 12 из 16 критически важных секторов инфраструктуры страны. Особенно плотно атаковалась система здравоохранения.