Bài viết từ Cybersecurity News thảo luận về 23 lỗ hổng được đề cập trong các nhật ký trò chuyện bị rò rỉ của nhóm ransomware Black Basta. Dưới đây là các điểm chính:
- Danh sách lỗ hổng: Các nhật ký trò chuyện bị rò rỉ đã tiết lộ 62 CVE được thảo luận bởi nhóm Black Basta, với GreyNoise xác định 23 trong số các CVE này là đang bị khai thác tích cực.
- CVE bị khai thác: 23 CVE bị khai thác tích cực bao gồm các lỗ hổng trong phần mềm doanh nghiệp, thiết bị bảo mật và ứng dụng được sử dụng rộng rãi. Các lỗ hổng cụ thể mà Black Basta nhắm đến bao gồm lỗ hổng trong các thiết bị Citrix, Ivanti và Fortinet.
- Thông tin hoạt động: Các nhật ký trò chuyện bị rò rỉ cung cấp cái nhìn chi tiết về chiến thuật hoạt động của Black Basta, bao gồm các công cụ và kỹ thuật ưa thích của họ. Nhóm này sử dụng các bộ tải mã độc tùy chỉnh, các chỉ số của các rủi ro, ví tiền điện tử và địa chỉ email liên quan đến các đối tác của họ.
- Thông tin tình báo về mối đe dọa: Các nhà nghiên cứu đã sử dụng các nền tảng AI để phân tích các tin nhắn bị rò rỉ, trích xuất các chỉ số có thể nhận biết như địa chỉ IP, miền, thông tin xác thực và tên tệp được đề cập trong các cuộc trò chuyện của đối tác Black Basta.
- Ảnh hưởng đến bảo mật: Việc rò rỉ đã xác nhận những cảnh báo tồn tại lâu dài từ FBI và CISA, những cảnh báo này đã chỉ ra mối liên hệ của Black Basta với hơn 500 vụ vi phạm và thiệt hại lên tới 100 triệu đô la. Các TTP (tactics, techniques, procedures – chiến thuật, kỹ thuật, quy trình) bị lộ có thể được các nhóm phân nhánh hoặc băng nhóm đối thủ áp dụng, cần có các biện pháp phòng thủ chủ động.
- Khuyến nghị: Để giảm thiểu rủi ro, các quản trị viên được khuyến khích làm cứng hệ thống truy cập từ xa, thực thi xác thực đa yếu tố và theo dõi các IoC (chỉ số của sự thỏa hiệp) như AntispamConnectUS.exe, một biến thể mã độc proxy được sử dụng trong các cuộc tấn công.
