- 9,321
- 18
- 8 Ноя 2022
Атака задержала проекты и повлияла на работу заводов.
<span style="color: #111111;">Швейцарская компания ABB, один из мировых лидеров в области робототехники, стала жертвой кибератаки группы вымогателей Black Basta. По данным источников, атака затронула сотни устройств компании.</span>
<span style="color: #111111;">ABB приостановила VPN-соединения с клиентами, чтобы не допустить распространения вредоносного ПО по другим сетям. Компания имеет более 100 тысяч сотрудников и в прошлом году заработала 29,4 миллиарда долларов.</span>
<span style="color: #111111;">Клиенты ABB представлены в разных секторах экономики, как государственных, так и частных. “ABB работает более чем на 40 инженерных, производственных, научно-исследовательских и сервисных объектах в США с проверенной репутацией по обслуживанию различных федеральных агентств, включая Министерство обороны, таких как Инженерный корпус армии США, и федеральных гражданских агентств, таких как Министерства внутренних дел, транспорта, энергетики, береговой охраны США, а также почтовую службу США”, - говорится на сайте компании.</span>
<span style="color: #111111;">Первоначальная атака с использованием вымогательского ПО произошла 7 мая. По утверждению источников, Black Basta атаковала компанию через Windows Active Directory, заражая сотни устройств.</span>
<span style="color: #070707;">Сообщается, что атака нарушила работу компании, задержала проекты и повлияла на работу заводов.</span>
<span style="color: #070707;">Сначала отказавшись комментировать кибератаку, ABB прислала следующее заявление:</span>
<span style="color: #070707;">«Компания ABB недавно обнаружила инцидент с ИТ-безопасностью, который напрямую затронул ИТ системы компании. </span><i style="color: #070707;">Чтобы исправить ситуацию, ABB приняла и продолжает принимать меры по сдерживанию инцидента. Такие меры сдерживания привели к некоторым сбоям в деятельности, которые компания устраняет. Подавляющее большинство систем и заводов в настоящее время работают и ABB продолжает безопасно обслуживать своих клиентов. ABB продолжает усердно работать со своими клиентами и партнерами, чтобы устранить последствия инцидента</i><span style="color: #070707;">».</span>
Black Basta - это оператор программ-вымогателей и преступная организация, предлагающая Ransomware-as-a-Service (RaaS), которая впервые появилась в начале 2022 года и сразу стала одним из самых активных групп угроз RaaS в мире, насчитывая более 100 подтвержденных жертв за первые несколько месяцев работы.
Для проникновения в сети жертв Black Basta использует различные методы, включая спам-рассылки, уязвимости в программном обеспечении и покупку доступа у других хакеров. Для сбора учетных данных и перемещения по сети Black Basta применяет такие инструменты, как QakBot, Mimikatz, PowerShell и PsExec. Для удаленного управления зараженными системами Black Basta устанавливает Cobalt Strike и SystemBC. Для эксплуатации повышения привилегий Black Basta может использовать уязвимости ZeroLogon, NoPac и PrintNightmare.
Стадия шифрования файлов начинается с отключения антивирусных продуктов, удаленного запуска полезной нагрузки через PowerShell и удаления теневых копий системы с помощью программы vssadmin.exe. Затем Black Basta запускает свое вымогательское ПО, которое использует комбинацию алгоритмов ECC и XChaCha20 для шифрования данных пользователей. Black Basta связана с группой FIN7 (Carbanak), которая специализируется на краже банковских данных. Это подтверждается сходством модулей для обхода EDR и пересечением IP-адресов для командно-контрольных операций.
По данным SecurityLab.ru, Black Basta также причастна к следующим инцидентам:
<span style="color: #111111;">Швейцарская компания ABB, один из мировых лидеров в области робототехники, стала жертвой кибератаки группы вымогателей Black Basta. По данным источников, атака затронула сотни устройств компании.</span>
<span style="color: #111111;">ABB приостановила VPN-соединения с клиентами, чтобы не допустить распространения вредоносного ПО по другим сетям. Компания имеет более 100 тысяч сотрудников и в прошлом году заработала 29,4 миллиарда долларов.</span>
<span style="color: #111111;">Клиенты ABB представлены в разных секторах экономики, как государственных, так и частных. “ABB работает более чем на 40 инженерных, производственных, научно-исследовательских и сервисных объектах в США с проверенной репутацией по обслуживанию различных федеральных агентств, включая Министерство обороны, таких как Инженерный корпус армии США, и федеральных гражданских агентств, таких как Министерства внутренних дел, транспорта, энергетики, береговой охраны США, а также почтовую службу США”, - говорится на сайте компании.</span>
<span style="color: #111111;">Первоначальная атака с использованием вымогательского ПО произошла 7 мая. По утверждению источников, Black Basta атаковала компанию через Windows Active Directory, заражая сотни устройств.</span>
<span style="color: #070707;">Сообщается, что атака нарушила работу компании, задержала проекты и повлияла на работу заводов.</span>
<span style="color: #070707;">Сначала отказавшись комментировать кибератаку, ABB прислала следующее заявление:</span>
<span style="color: #070707;">«Компания ABB недавно обнаружила инцидент с ИТ-безопасностью, который напрямую затронул ИТ системы компании. </span><i style="color: #070707;">Чтобы исправить ситуацию, ABB приняла и продолжает принимать меры по сдерживанию инцидента. Такие меры сдерживания привели к некоторым сбоям в деятельности, которые компания устраняет. Подавляющее большинство систем и заводов в настоящее время работают и ABB продолжает безопасно обслуживать своих клиентов. ABB продолжает усердно работать со своими клиентами и партнерами, чтобы устранить последствия инцидента</i><span style="color: #070707;">».</span>
Black Basta - это оператор программ-вымогателей и преступная организация, предлагающая Ransomware-as-a-Service (RaaS), которая впервые появилась в начале 2022 года и сразу стала одним из самых активных групп угроз RaaS в мире, насчитывая более 100 подтвержденных жертв за первые несколько месяцев работы.
Для проникновения в сети жертв Black Basta использует различные методы, включая спам-рассылки, уязвимости в программном обеспечении и покупку доступа у других хакеров. Для сбора учетных данных и перемещения по сети Black Basta применяет такие инструменты, как QakBot, Mimikatz, PowerShell и PsExec. Для удаленного управления зараженными системами Black Basta устанавливает Cobalt Strike и SystemBC. Для эксплуатации повышения привилегий Black Basta может использовать уязвимости ZeroLogon, NoPac и PrintNightmare.
Стадия шифрования файлов начинается с отключения антивирусных продуктов, удаленного запуска полезной нагрузки через PowerShell и удаления теневых копий системы с помощью программы vssadmin.exe. Затем Black Basta запускает свое вымогательское ПО, которое использует комбинацию алгоритмов ECC и XChaCha20 для шифрования данных пользователей. Black Basta связана с группой FIN7 (Carbanak), которая специализируется на краже банковских данных. Это подтверждается сходством модулей для обхода EDR и пересечением IP-адресов для командно-контрольных операций.
По данным SecurityLab.ru, Black Basta также причастна к следующим инцидентам:
- 18 апреля 2023 года Black Basta Для просмотра ссылки Войди
или Зарегистрируйся похищенные из аутсорс-компании Capita. - 1 марта 2023 года Black Basta Для просмотра ссылки Войди
или Зарегистрируйся , которая привела к многодневному отключению телевизионного вещания и поддержки клиентов. - 29 декабря 2022 года Black Basta украла данные государственного подрядчика США, Для просмотра ссылки Войди
или Зарегистрируйся . В руки злоумышленников попали данные более 6 900 человек. - 26 ноября 2022 года Black Basta стала известна как Для просмотра ссылки Войди
или Зарегистрируйся , одного из крупнейших производителей продуктов питания в Канаде. - 24 ноября 2022 года Black Basta была обвинена в Для просмотра ссылки Войди
или Зарегистрируйся , который заражал компьютеры американских компаний. - 9 ноября 2022 года исследователи нашли Для просмотра ссылки Войди
или Зарегистрируйся , анализируя инструменты для обхода EDR. - 13 октября 2022 года Trend Micro сообщила, что Для просмотра ссылки Войди
или Зарегистрируйся по сети занимает в среднем 43 минуты. - 28 сентября 2022 года оборонная компания Elbit Systems of America Для просмотра ссылки Войди
или Зарегистрируйся , за атакой на которую стояла группировка Black Basta.
- Источник новости
- www.securitylab.ru
