Aktuelles, Branche - geschrieben von dp am Mittwoch, August 31, 2022 12:33 - noch keine Kommentare
Black Basta: Palo Alto Networks veröffentlicht Erkenntnisse zu Ransomware-Gruppe
Malware-Analyse-Team von Palo Alto Networks hat Bericht mit Details über neue Ransomware-Gruppe veröffentlicht
[datensicherheit.de, 31.08.2022] Die „Unit 42“, das Malware-Analyse-Team bei Palo Alto Networks, hat einen Bericht veröffentlicht, der Details über die Ransomware-Gruppe „Black Basta“ enthält, die demnach erstmals im April 2022 aufgetaucht ist und seitdem auf dem Vormarsch sei. Die „Incident Responders“ der „Unit 42“ hätten bereits auf mehrere „Black Basta“-Ransomware-Fälle reagiert.
Seit Auftauchen der Ransomware Mitglieder der Gruppe sehr aktiv bei Verbreitung und Erpressung von Unternehmen
Seit dem Auftauchen dieser Ransomware seien die Mitglieder der Gruppe sehr aktiv bei der Verbreitung und Erpressung von Unternehmen. „Die Angreifer betreiben einen Marktplatz für Cyber-Kriminalität und einen Blog, in dem die Gruppe die Namen ihrer Opfer, Beschreibungen, den Prozentsatz der Veröffentlichung, die Anzahl der Besuche und alle exfiltrierten Daten auflistet.“
Obwohl die Mitglieder erst seit ein paar Monaten aktiv seien, hätten sie nach den auf ihrer Leak-Site veröffentlichten Informationen bereits mehr als 75 Unternehmen und Institutionen kompromittiert.
Black Basta als Ransomware as a Service
„Black Basta“ sei eine „Ransomware as a Service“ (RaaS), welche erstmals im April 2022 aufgetaucht sei. Es gebe jedoch Hinweise darauf, dass sie sich seit Februar 2022 in der Entwicklung befindet. Die Betreiber von „Black Basta“ wendeten eine doppelte Erpressungstechnik an. Sie verschlüsselten nicht nur Dateien auf den Systemen der Angriffsziele und forderten Lösegeld für die Entschlüsselung, sondern unterhielten auch eine Leak-Site im DarkWeb, auf der sie damit drohten, sensible Informationen zu veröffentlichen, falls ein Opfer kein Lösegeld zahlt.
Die Partner von „Black Basta“ seien seit dem ersten Auftauchen der Ransomware sehr aktiv bei der Verbreitung von „Black Basta“ und der Erpressung von Unternehmen. „Obwohl sie erst seit ein paar Monaten aktiv sind, haben sie nach den auf ihrer Leak-Site veröffentlichten Informationen zum Zeitpunkt dieser Veröffentlichung bereits über 75 Unternehmen und Institutionen infiziert.“ Die „Unit 42“ habe auch bereits an mehreren „Black Basta“-Fällen gearbeitet.
Ransomware in C++ gefährlich für Windows und Linux
Die Ransomware sei in „C++ „geschrieben und wirke sich sowohl auf „Windows-“ als auch auf „Linux“-Betriebssysteme aus. Sie verschlüssele die Daten der Benutzer mit einer Kombination aus „ChaCha20“ und „RSA-4096“. Um den Verschlüsselungsprozess zu beschleunigen, verschlüssele die Ransomware in Abschnitten von 64 Byte, wobei 128 Byte Daten zwischen den verschlüsselten Bereichen unverschlüsselt blieben. „Je schneller die Ransomware verschlüsselt, desto mehr Systeme können potenziell kompromittiert werden, bevor die Verteidigungsmaßnahmen ausgelöst werden.“ Dies sei ein entscheidender Faktor, auf den die Partner achteten, „wenn sie sich einer ,Ransomware-as-a-Service’-Gruppe anschließen“.
Die „Unit 42“ hat nach eigenen Angaben beobachtet, „dass die ,Black Basta’-Ransomware-Gruppe ,QBot’ als ersten Einstiegspunkt nutzt, um sich seitlich in kompromittierten Netzwerken zu bewegen. ,QBot’, auch bekannt als ,Qakbot’, ist ein ,Windows’-Malware-Stamm, der als Banking-Trojaner begann und sich zu einem Malware-Dropper entwickelte“. Er sei auch von anderen Ransomware-Gruppen verwendet, darunter „MegaCortex“, „ProLock“, „DoppelPaymer“ und „Egregor“. Während diese Ransomware-Gruppen „QBot“ für den Erstzugang genutzt hätten, sei die „Black Basta“-Gruppe dabei beobachtet worden, „wie sie ,QBot’ sowohl für den Erstzugang als auch für die seitliche Verbreitung im Netzwerk einsetzte“.
Möglicherweise Neuauflage einer früheren Ransomware-Gruppe
Da die „Black Basta“-Angriffe im Jahr 2022 weltweit aufsehenerregend gewesen und immer wieder aufgetreten seien, „ist es wahrscheinlich, dass die Betreiber und/oder die mit ihnen verbundenen Partner, die hinter dem Dienst stehen, weiterhin Unternehmen angreifen und erpressen werden“.
Es sei auch möglich, dass es sich nicht um eine neue Operation handele, sondern eher um eine Neuauflage einer früheren Ransomware-Gruppe, welche ihre Partner mitgebracht habe. Aufgrund zahlreicher Ähnlichkeiten in den Taktiken, Techniken und Verfahren (wie „Victim Shaming“-Blogs, Wiederherstellungsportale, Verhandlungstaktiken und die Art und Weise, wie schnell „Black Basta“ seine Opfer gesammelt habe) könnte die Gruppe aktuelle oder ehemalige Mitglieder der „Conti“-Gruppe umfassen.
Überblick zu wichtigen Ergebnisse der Untersuchung der neuen Ransomware:
- Die RaaS nutzt Doppelte Erpressung als Teil der Angriffe.
- Daten von mindestens 20 Opfern wurden in den ersten zwei Wochen des Einsatzes der Ransomware auf der Leak-Site veröffentlicht.
- Die Gruppe hat Berichten zufolge mehrere große Unternehmen aus den Bereichen Verbraucher- und Industrieprodukte, Energie, Ressourcen und Landwirtschaft, Fertigung, Versorgungsunternehmen, Transport, Regierungsbehörden, freiberufliche Dienstleistungen und Beratung sowie Immobilien angegriffen.
Weitere Informationen zum Thema:
UNIT42, Amer Elsad, 25.08.2022
Threat Assessment: Black Basta Ransomware
datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks.
Aktuelles, Gastbeiträge - Nov 29, 2023 18:22 - noch keine Kommentare
Kubernetes mit KBOM sicherer machen
weitere Beiträge in Experten
- Zero Trust: Sicherheit auch für 5G und Edge Computing
- KI – mehr als ein Hype
- Chance oder Bedrohung: Künstliche Intelligenz und IT-Sicherheit
- 106. Tagung der Datenschutzkonferenz: Hohes Datenschutzniveau der medizinischen Forschung im Fokus
- Orphaned Data: Die Gefahr verwaister Daten
Aktuelles, Branche, Gastbeiträge - Nov 27, 2023 11:43 - noch keine Kommentare
KI – mehr als ein Hype
weitere Beiträge in Branche
- Neues Jahr – Ransomware-Attacken voraus
- IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker
- Abwehr Cyber-Krimineller: Hürden erzeugen Aufwand und Kosten
- Untersuchung zeigt: Neue Ransomware-Gruppen als Schrittmacher der Cyber-Angriffe
- Black Friday: Umsätze im Online-Handel steigen – damit häufen sich auch Betrugsfälle
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren