Швейцарская компания ABB подверглась кибератаке группы вымогателей Black Basta

Швейцарская компания ABB, один из мировых лидеров в области робототехники, стала жертвой кибератаки группы вымогателей Black Basta. По данным источников, атака затронула сотни устройств компании.

ABB приостановила VPN-соединения с клиентами, чтобы не допустить распространения вредоносного ПО по другим сетям. Компания имеет более 100 тысяч сотрудников и в прошлом году заработала 29,4 миллиарда долларов.

Клиенты ABB представлены в разных секторах экономики, как государственных, так и частных. “ABB работает более чем на 40 инженерных, производственных, научно-исследовательских и сервисных объектах в США с проверенной репутацией по обслуживанию различных федеральных агентств, включая Министерство обороны, таких как Инженерный корпус армии США, и федеральных гражданских агентств, таких как Министерства внутренних дел, транспорта, энергетики, береговой охраны США, а также почтовую службу США”, - говорится на сайте компании.

Первоначальная атака с использованием вымогательского ПО произошла 7 мая. По утверждению источников, Black Basta атаковала компанию через Windows Active Directory, заражая сотни устройств.

Сообщается, что атака нарушила работу компании, задержала проекты и повлияла на работу заводов.

Сначала отказавшись комментировать кибератаку, ABB прислала следующее заявление:

«Компания ABB недавно обнаружила инцидент с ИТ-безопасностью, который напрямую затронул ИТ системы компании. Чтобы исправить ситуацию, ABB приняла и продолжает принимать меры по сдерживанию инцидента. Такие меры сдерживания привели к некоторым сбоям в деятельности, которые компания устраняет. Подавляющее большинство систем и заводов в настоящее время работают и ABB продолжает безопасно обслуживать своих клиентов. ABB продолжает усердно работать со своими клиентами и партнерами, чтобы устранить последствия инцидента».

Black Basta - это оператор программ-вымогателей и преступная организация, предлагающая Ransomware-as-a-Service (RaaS), которая впервые появилась в начале 2022 года и сразу стала одним из самых активных групп угроз RaaS в мире, насчитывая более 100 подтвержденных жертв за первые несколько месяцев работы.

Для проникновения в сети жертв Black Basta использует различные методы, включая спам-рассылки, уязвимости в программном обеспечении и покупку доступа у других хакеров. Для сбора учетных данных и перемещения по сети Black Basta применяет такие инструменты, как QakBot, Mimikatz, PowerShell и PsExec. Для удаленного управления зараженными системами Black Basta устанавливает Cobalt Strike и SystemBC. Для эксплуатации повышения привилегий Black Basta может использовать уязвимости ZeroLogon, NoPac и PrintNightmare.

Стадия шифрования файлов начинается с отключения антивирусных продуктов, удаленного запуска полезной нагрузки через PowerShell и удаления теневых копий системы с помощью программы vssadmin.exe. Затем Black Basta запускает свое вымогательское ПО, которое использует комбинацию алгоритмов ECC и XChaCha20 для шифрования данных пользователей. Black Basta связана с группой FIN7 (Carbanak), которая специализируется на краже банковских данных. Это подтверждается сходством модулей для обхода EDR и пересечением IP-адресов для командно-контрольных операций.

По данным SecurityLab.ru, Black Basta также причастна к следующим инцидентам:

• 18 апреля 2023 года Black Basta выставила на продажу личные данные учителей Великобритании, похищенные из аутсорс-компании Capita.
• 1 марта 2023 года Black Basta призналась в атаке на Dish Network , которая привела к многодневному отключению телевизионного вещания и поддержки клиентов.
• 29 декабря 2022 года Black Basta украла данные государственного подрядчика США, занимающегося вопросами ядерной безопасности . В руки злоумышленников попали данные более 6 900 человек.
• 26 ноября 2022 года Black Basta стала известна как организатор взлома Maple Leaf Foods , одного из крупнейших производителей продуктов питания в Канаде.
• 24 ноября 2022 года Black Basta была обвинена в агрессивной кампании с использованием вредоноса QakBot , который заражал компьютеры американских компаний.
• 9 ноября 2022 года исследователи нашли связи между хакерами Black Basta и FIN7 , анализируя инструменты для обхода EDR.
• 13 октября 2022 года Trend Micro сообщила, что “прогулка” хакеров Black Basta по сети занимает в среднем 43 минуты.
• 28 сентября 2022 года оборонная компания Elbit Systems of America раскрыла подробности своей утечки данных , за атакой на которую стояла группировка Black Basta.