Black Basta gehört zu den aktivsten Ransomware-Banden. Seit April 2022 haben die Cyberkriminellen laut Sicherheitsbehörden weltweit über 500 Unternehmen und Organisationen angegriffen. Auch in der Schweiz ist die Bande aktiv: Allein seit Jahresbeginn bekannte sie sich zu fünf Attacken. Zu den Opfern hierzulande gehörten Franz Carl Weber, der Personalvermittler Das Team und zuletzt die BKW-Tochter Swisspro.

Die US-Security-Behörde CISA und das FBI warnen in einem neuen Advisory eindringlich vor der Bande. Die Warnung erfolgt, nachdem Black Basta vergangene Woche in den USA erfolgreich das gemeinnützige Gesundheitsnetzwerk Ascension attackiert hat, welches über hundert Krankenhäuser betreibt. In der Folge fielen Telefonie und IT-Systeme in Spitälern aus, nicht notfallmässige Termine mussten zum Teil abgesagt werden.

Black-Basta-Akteure hätten in den letzten Monaten Daten von "mindestens 12 von 16 kritischen Infrastruktursektoren verschlüsselt und gestohlen", schreiben die Behörden. Dazu würden Gesundheitseinrichtungen in Europa und den USA gehören.

Black Basta wird im Ransomware-as-a-Service-Modell betrieben. Das "#StopRansomware"-Advisory enthält Details zum Vorgehen der Cyberkriminellen. Diese hätten seit Februar begonnen, die kritische Schwachstelle CVE-2024-1709 in Screenconnect von Connectwise auszunutzen. "In einigen Fällen wurde beobachtet, dass die Akteure gültige Anmeldeinformationen missbrauchten." Zu den weiteren von der Gruppe ausgenutzten Schwachstellen gehören nach Angaben der Behörden unter anderem Zerologon (CVE-2020-1472), Nopac (CVE-2021-42278) und Printnightmare (CVE-2021-34527).

Das Advisory enthält auch Beobachtungen zur Eskalation von Privilegien, zu den Exfiltration- und Verschlüsselungstechniken sowie weiteren genutzten Tools der Bande. Es schliesst mit Abhilfemassnahmen, "um die Cybersicherheitslage Ihrer Organisation basierend auf den Aktivitäten von Black Basta zu verbessern".