Black Basta ransomware

ABB ble rammet av Black Basta. Det samme ble tyske Rheinmetall, American Dental Association, Deutsche Windtechnik, Capita og flere .

Ser man på denne rapporten om Black Basta kan man trekke noen konklusjoner.

Ved å se på timeline bildet vil man se hvordan mine 6 anbefalinger vil begrense risikoen betraktelig.

Figure 1 shows the Black Basta attack lifecycle based on Unit 42 incident response cases. A phishing email contains either a URL for a ZIP file. The ZIP file downloads and extracts and XLS file. Macros enabled HTTP traffic for QAKBOT DLL files. QAKBOT C2 activity deploys Cobalt strike, which allows for system discovery and lateral movement using RDP/Psexec. And finally the Black Basta Ransomware deployment.

Her er en oversikt over tiltak som ville bidratt til å avverge hendelsen

MFA på eksterne DAAS

Basert på lifecycle informasjon ser det ikke ut til at dette har relevans til angrepet

Segmentering med Least Privilege

Basert på lifecycle informasjon vil dette helt klart ha innvirkning på “lateral movement” med RDP

MFA på interne DAAS

Når de kriminelle er på innsiden vil de prøve å bevege seg til andre enheter. Dette kan begrenses med segmentering og Least Privilege, men mikrosegmentering kan være krevende å få på plass slik at systemer kan være tilgjengelige uten nettverkskontroll. Derfor er det viktig å ha MFA på interne DAAS.

VG testen (Least Privilege)

Angriperne etablerer C2, phone home, backdoor, Command & Control ut av systemene for å etablere fotfeste. Dermed er VG testen høyst relevant og må adresseres på DAAS

Sentralisert logging med SOC

Et slikt angrep vil ta tid da flere steg må gjennomføres. Det er derfor viktig å sikre godt med logging og samle dette på et sentralisert system og ha overvåking.

Klienter ut av nettet med Always-On VPN

Ved å sikre at klientene ikke er innenfor brannmuren, vil man redusere sannsynlighet og risiko for at dette kan skje. Om en phishing mail skulle gå igjennom vil et klikk på en URL bli fanget opp av en Next Generation Firewall som kan bidra til å sperre kommunikasjonen med DNS, URL, IPS og kanskje flere sikkerhetsfunksjoner.

Konklusjon

Basert på informasjon om konsekvensene og kampanjen ser man at nevnte elementer kunne bidratt til å hindre eller vanskeliggjøre en suksessfull hendelse for de kriminelle