Ransomware
Black Basta unter der Lupe
Die Black Basta-Gruppe setzt bei den Ransomware-Angriffen auf Ransomware-as-a-Service (RaaS), nutzt doppelte Erpressung und setzt auf Tools wie Qakbot-Trojaner oder PrintNightmare Exploit. Jetzt gibt es auch ein neues Linux-Build. Wir haben die Gruppe detailliert analysiert
Save to Folio
Die Black Basta Ransomware-Gruppe ist relativ neu in diesem Jahr. Sie hat jedoch keine Zeit verloren, um sich einen Namen zu machen, indem sie ihr Toolset verbessert und die Zahl ihrer Opfer weltweit in nur wenigen Monaten erh?ht hat. Die Gruppe setzt auf das Betriebsmodell Ransomware-as-a-Service (RaaS), nutzt doppelte Erpressung und setzt auf Tools wie den Qakbot-Trojaner und den PrintNightmare Exploit.
Die Erkennungsraten von Black Basta sind derzeit gering, was wahrscheinlich daran liegt, dass die Ransomware erst vor kurzem entdeckt wurde. Und wie die meisten modernen Erpresserprogramme geht Black Basta bei der Auswahl seiner Opfer gezielter vor, anstatt sich auf ein Gie?kannenprinzip zu verlassen. Die Geschwindigkeit, mit der die Malware-Autoren ihr Angriffsarsenal erweitert und ein neues Linux-Build entwickelt haben, erfordert jedoch weitere Untersuchungen der Ransomware-Bande dahinter.
贬颈苍迟别谤驳谤ü苍诲别
Die Gruppe wurde schnell bekannt, nachdem sie massive Dateneinbrüche begangen hatte. Im April 2022 suchte ein Nutzer namens ?Black Basta“ in Untergrundforen nach Zugangsdaten für Unternehmensnetzwerke gegen einen Anteil am Gewinn aus den daraus resultierenden Ransomware-Angriffen. Er war vor allem an Zugangsdaten von Unternehmen in englischsprachigen L?ndern wie Australien, Kanada, Neuseeland, Gro?britannien und den USA an interessiert.
Zwei Tage sp?ter wurde die American Dental Association (ADA) , infolge dessen sie mehrere Systeme abschalten musste. Daten, die mutma?lich der ADA gestohlen wurden, erschienen nur 96 Stunden nach dem Angriff auf der Black Basta Leak-Site.
Ursprünglich ging man davon aus, dass die Ransomware-Gruppe gekaufte oder gestohlene Zugangsdaten nutzte, um in die Netzwerke ihrer Opfer einzudringen. Doch unsere Analyse einer anderen Reihe von Samples, die innerhalb eines 72-Stunden-Zeitraums überwacht wurden, deckt einen m?glichen Zusammenhang zwischen dem Qakbot-Trojaner und der Black Basta-Ransomware auf. Black Basta entwickelt sich st?ndig weiter, und im Juni wurde eine Linux-Version der Ransomware entdeckt, die virtuelle VMware ESXi-Maschinen verschlüsselt.
Die Ransomware-Gruppe verbreitet ihre Malware nicht wahllos. Die Tatsache, dass die Betreiber von Black Basta sich in Untergrundm?rkten Netzwerkzugangsdaten beschaffen und in jedem Black Basta-Build eine eindeutige ID fest kodierten, zeigt, dass sie genau wissen, wie Ransomware als Gesch?ft funktioniert, und dahinter stehen wahrscheinlich erfahrene Cyberkriminelle.
Die am st?rksten betroffenen L?nder und Branchen aufgrund von live casino online-Daten
Die Daten stammen aus dem live casino online? Smart Protection Network? und zeigen, dass auf nur zwei L?nder mehr als die H?lfte der 44 Ransomware-Angriffsversuche in diesem Zeitraum? entfielen:
Bild 1. Die L?nder mit den meisten Black-Basta-Ransomware-Angriffen nach Anzahl der infizierten Computer vom 1. April bis 31. Juli 2022 (Quelle: live casino online? Smart Protection Network?)
Unsere Erkennungen machen deutlich, dass die Aktivit?ten von Black Basta über viele verschiedene Branchen verteilt sind. Die Gruppe hat es auf Unternehmen aus den Bereichen Technologie, Versicherungen, Fertigung und Versorgungsunternehmen abgesehen.
Die Zahl der Erkennungen ist seit April stetig angestiegen und erreichte im Juni mit 22 Angriffsversuchen ihren H?hepunkt, bevor sie im darauffolgenden Monat auf 11 zurückging.
Bild 2. Anzahl der Entdeckungen von Black-Basta-Angriffen auf infizierte Computer in jedem Monat vom 1. April bis 31. Juli 2022 (Quelle: live casino online? Smart Protection Network?)
Anvisierte Regionen und Branchen laut der Black Basta Leak Site
Die Black Basta Leak-Site gibt die erfolgreich kompromittierten Organisationen wieder, die sich weigerten das L?segeld zu zahlen. Unsere Erkennungen, die sich auf live casino online-Kunden beziehen, erfassen nur einen Bruchteil der Opfer, die auf der Leak-Site von Black Basta gefunden wurden. live casino onlines Open-Source-Intelligence (OSINT)-Recherchen und Untersuchungen der Website zeigen, dass die Gruppe zwischen dem 1. April und dem 31. Juli 2022 insgesamt 80 Unternehmen kompromittiert hat.
Bild 3. Die Verteilung der von Black Basta kompromittierten Organisationen nach L?ndern (Quelle: Black Basta Leak Site und live casino online OSINT Forschung)
Die Angriffe trafen eine Vielfalt von Unternehmen, wobei mittelgro?e Firmen den Hauptanteil ausmachen.
Bild 4. Verteilung der betroffenen Unternehmen nach Branchen (Quelle: Black Basta Leak Site und live casino online OSINT Forschung)
Infektionskette und Techniken
Da Black Basta nach dem RaaS-Modell arbeitet, kann die Infektionskette je nach Ziel variieren.
Bild 5. Black Basta-Infektionsablauf
Erstzugang: Externe Daten belegen, dass der Nutzer ?Black Basta“ in Untergrundforen nach Zugangsdaten für Unternehmensnetzwerke suchte und einen Teil des Gewinns aus seinen Angriffen als Bezahlung anbot. Diese Berichte werden durch die Tatsache gestützt, dass in jedem Black Basta-Build eine eindeutige ID fest codiert ist. Unsere internen Telemetriedaten zeigen auch die Verwendung von Qakbot. Die Malware wird von einer b?sartigen Excel-Datei heruntergeladen und ausgeführt.
Erkundung: Black Basta nutzt PowerShell Skripts, um nach Informationen über kompromittierte Systeme oder Netzwerke zu scannen. Sie nutzt dafür die F?higkeiten von Qakbot und Cobeacon sowie Tools wie Natcat.
Umgehung des Schutzes: Sie verwendet ein Batch-Skript mit PowerShell-Befehlen, um Antimalware-Anwendungen zu deaktivieren und Gruppenrichtlinien-Objekte (GPOs), um Windows Defender und das Sicherheitscenter lahmzulegen. Dann startet sie den Computer des Opfers im abgesicherten Modus neu, um alle Antimalware-Anwendungen zu umgehen.
Erweiterung der Privilegien: Black Basta nutzt die ?, um privilegierte Aktionen auszuführen und legt den Cobalt Strike Beacon (aka Cobeacon) oder andere Payloads ab. Für die Ablage von Credentials nutzt die Malware Mimikatz.
Den gesamten Ablauf k?nnen Sie im Originalbeitrag nachlesen.
Auswirkungen: Black Basta nutzt den ChaCha20-Algorithmus für die Verschlüsselung von Dateien. Es wurden mehrere Builds der Ransomware gefunden: Einer startet das System des Opfers im abgesicherten Modus neu, und ?ndert auch den ?Fax“-Dienst, damit er im abgesicherten Modus und mit Zugriff auf Serviceebene ausgeführt werden kann. Ein anderer enth?lt nur die Kernfunktionen der Ransomware, wie z. B. die Verunstaltung von Wallpapers, die Verschlüsselung von Dateien und das L?schen von Schattenkopien. Der Linux-Build zielt auf die Verschlüsselung des Ordners /vmfs/volumes ab, in dem die Images virtueller Maschinen enthalten sind. Black Basta zeigt eine Ransomware-Nachricht auf der Wallpaper des Opfers an, die auf eine .txt-Datei mit weiteren Details verweist.
Weitere technische Details liefert ebenfalls der Originalbeitrag. Hier finden sich auch eine Auflistung der MITRE Tactics and Techniques sowie eine tabellarische Zusammenfassung der eingesetzten Malware, Tools und Exploits.
Sicherheitsempfehlungen
Sicherheitsforscher haben vermutet, dass Black Basta ein der berüchtigten Conti-Bande sein k?nnte. Sie weist auch ?hnlichkeiten mit der Ransomware-Bande Black Matter auf, einschlie?lich einer ?hnlichkeit zwischen ihren jeweiligen Leak-Sites. Die m?gliche Verbindung zu diesen Ransomware-Gruppen k?nnte das hohe Niveau an internem Fachwissen hinter den Angriffen von Black Basta erkl?ren.
Um die Systeme gegen ?hnliche Bedrohungen zu schützen, k?nnen Unternehmen Sicherheits-Frameworks einrichten, die systematisch Ressourcen für die Einrichtung einer soliden Abwehr gegen Ransomware zuweisen k?nnen. Folgende Best Practices k?nnen in diese Frameworks integriert werden:
- Audit und Inventur: Erstellen sie eine ?bersicht über die Assets und Daten und identifizieren Sie autorisierte und nicht autorisierte Ger?te und Software. Führen Sie einen Audit der Ereignis-Logs durch.
- Konfigurieren und Monitoren: Verwalten Sie Hardware- und Softwarekonfigurationen. Gew?hren Sie Administratorrechte und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters erforderlich ist. ?berwachen Sie Netzwerk-Ports, Protokolle und Dienste. Aktivieren Sie Sicherheitskonfigurationen auf Netzwerkinfrastrukturger?ten wie Firewalls und Routern. Erstellen Sie eine Software-Zulassungsliste, die nur legitime Anwendungen ausführt.
- Patchen und Updaten: Führen Sie regelm??ige Schwachstellenüberprüfungen durch. Patchen und aktualisieren Sie Betriebssysteme und Anwendungen.
- Schützen und wiederherstellen: Implementieren Sie Ma?nahmen für den Datenschutz, Backup und Wiederherstellung. Setzen Sie Multifaktor-Authentifizierung ein.
- Sichern und verteidigen: Implementieren Sie Sandbox-Analyse, um b?sartige Mails zu blockieren. Stellen Sie die neuesten Versionen von Sicherheitsl?sungen auf allen Ebenen des Systems bereit, einschlie?lich Mail, Endpunkt, Web und Netzwerk. Erkennen Sie frühzeitig Anzeichen eines Angriffs, z. B. das Vorhandensein von verd?chtigen Tools im System, und nutzen Sie fortschrittliche Erkennungstechnologien, z. B. auf der Grundlage von KI und maschinellem Lernen.
- Schulen und testen: Regelm??iges Training der Mitarbeiter auf Sicherheitskenntnisse, sowie das Aufsetzen eines Red Teams und Pen Tests.
Ein mehrschichtiger Sicherheitsansatz kann Unternehmen dabei helfen, die m?glichen Eintrittspunkte in das System (Endpunkt, E-Mail, Web und Netzwerk) zu schützen. Sicherheitsl?sungen, die b?sartige Komponenten und verd?chtiges Verhalten erkennen, k?nnen Unternehmen schützen.
Eine Liste der Indicators of Compromise (IOCs) gibt es ebenfalls im Originalbeitrag.