Aktuelles, Branche - geschrieben von dp am Mittwoch, August 31, 2022 12:33 - noch keine Kommentare
Black Basta: Palo Alto Networks veröffentlicht Erkenntnisse zu Ransomware-Gruppe
Malware-Analyse-Team von Palo Alto Networks hat Bericht mit Details über neue Ransomware-Gruppe veröffentlicht
[datensicherheit.de, 31.08.2022] Die „Unit 42“, das Malware-Analyse-Team bei Palo Alto Networks, hat einen Bericht veröffentlicht, der Details über die Ransomware-Gruppe „Black Basta“ enthält, die demnach erstmals im April 2022 aufgetaucht ist und seitdem auf dem Vormarsch sei. Die „Incident Responders“ der „Unit 42“ hätten bereits auf mehrere „Black Basta“-Ransomware-Fälle reagiert.
Seit Auftauchen der Ransomware Mitglieder der Gruppe sehr aktiv bei Verbreitung und Erpressung von Unternehmen
Seit dem Auftauchen dieser Ransomware seien die Mitglieder der Gruppe sehr aktiv bei der Verbreitung und Erpressung von Unternehmen. „Die Angreifer betreiben einen Marktplatz für Cyber-Kriminalität und einen Blog, in dem die Gruppe die Namen ihrer Opfer, Beschreibungen, den Prozentsatz der Veröffentlichung, die Anzahl der Besuche und alle exfiltrierten Daten auflistet.“
Obwohl die Mitglieder erst seit ein paar Monaten aktiv seien, hätten sie nach den auf ihrer Leak-Site veröffentlichten Informationen bereits mehr als 75 Unternehmen und Institutionen kompromittiert.
Black Basta als Ransomware as a Service
„Black Basta“ sei eine „Ransomware as a Service“ (RaaS), welche erstmals im April 2022 aufgetaucht sei. Es gebe jedoch Hinweise darauf, dass sie sich seit Februar 2022 in der Entwicklung befindet. Die Betreiber von „Black Basta“ wendeten eine doppelte Erpressungstechnik an. Sie verschlüsselten nicht nur Dateien auf den Systemen der Angriffsziele und forderten Lösegeld für die Entschlüsselung, sondern unterhielten auch eine Leak-Site im DarkWeb, auf der sie damit drohten, sensible Informationen zu veröffentlichen, falls ein Opfer kein Lösegeld zahlt.
Die Partner von „Black Basta“ seien seit dem ersten Auftauchen der Ransomware sehr aktiv bei der Verbreitung von „Black Basta“ und der Erpressung von Unternehmen. „Obwohl sie erst seit ein paar Monaten aktiv sind, haben sie nach den auf ihrer Leak-Site veröffentlichten Informationen zum Zeitpunkt dieser Veröffentlichung bereits über 75 Unternehmen und Institutionen infiziert.“ Die „Unit 42“ habe auch bereits an mehreren „Black Basta“-Fällen gearbeitet.
Ransomware in C++ gefährlich für Windows und Linux
Die Ransomware sei in „C++ „geschrieben und wirke sich sowohl auf „Windows-“ als auch auf „Linux“-Betriebssysteme aus. Sie verschlüssele die Daten der Benutzer mit einer Kombination aus „ChaCha20“ und „RSA-4096“. Um den Verschlüsselungsprozess zu beschleunigen, verschlüssele die Ransomware in Abschnitten von 64 Byte, wobei 128 Byte Daten zwischen den verschlüsselten Bereichen unverschlüsselt blieben. „Je schneller die Ransomware verschlüsselt, desto mehr Systeme können potenziell kompromittiert werden, bevor die Verteidigungsmaßnahmen ausgelöst werden.“ Dies sei ein entscheidender Faktor, auf den die Partner achteten, „wenn sie sich einer ,Ransomware-as-a-Service’-Gruppe anschließen“.
Die „Unit 42“ hat nach eigenen Angaben beobachtet, „dass die ,Black Basta’-Ransomware-Gruppe ,QBot’ als ersten Einstiegspunkt nutzt, um sich seitlich in kompromittierten Netzwerken zu bewegen. ,QBot’, auch bekannt als ,Qakbot’, ist ein ,Windows’-Malware-Stamm, der als Banking-Trojaner begann und sich zu einem Malware-Dropper entwickelte“. Er sei auch von anderen Ransomware-Gruppen verwendet, darunter „MegaCortex“, „ProLock“, „DoppelPaymer“ und „Egregor“. Während diese Ransomware-Gruppen „QBot“ für den Erstzugang genutzt hätten, sei die „Black Basta“-Gruppe dabei beobachtet worden, „wie sie ,QBot’ sowohl für den Erstzugang als auch für die seitliche Verbreitung im Netzwerk einsetzte“.
Möglicherweise Neuauflage einer früheren Ransomware-Gruppe
Da die „Black Basta“-Angriffe im Jahr 2022 weltweit aufsehenerregend gewesen und immer wieder aufgetreten seien, „ist es wahrscheinlich, dass die Betreiber und/oder die mit ihnen verbundenen Partner, die hinter dem Dienst stehen, weiterhin Unternehmen angreifen und erpressen werden“.
Es sei auch möglich, dass es sich nicht um eine neue Operation handele, sondern eher um eine Neuauflage einer früheren Ransomware-Gruppe, welche ihre Partner mitgebracht habe. Aufgrund zahlreicher Ähnlichkeiten in den Taktiken, Techniken und Verfahren (wie „Victim Shaming“-Blogs, Wiederherstellungsportale, Verhandlungstaktiken und die Art und Weise, wie schnell „Black Basta“ seine Opfer gesammelt habe) könnte die Gruppe aktuelle oder ehemalige Mitglieder der „Conti“-Gruppe umfassen.
Überblick zu wichtigen Ergebnisse der Untersuchung der neuen Ransomware:
- Die RaaS nutzt Doppelte Erpressung als Teil der Angriffe.
- Daten von mindestens 20 Opfern wurden in den ersten zwei Wochen des Einsatzes der Ransomware auf der Leak-Site veröffentlicht.
- Die Gruppe hat Berichten zufolge mehrere große Unternehmen aus den Bereichen Verbraucher- und Industrieprodukte, Energie, Ressourcen und Landwirtschaft, Fertigung, Versorgungsunternehmen, Transport, Regierungsbehörden, freiberufliche Dienstleistungen und Beratung sowie Immobilien angegriffen.
Weitere Informationen zum Thema:
UNIT42, Amer Elsad, 25.08.2022
Threat Assessment: Black Basta Ransomware
datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks.
Aktuelles, Experten - Apr. 18, 2025 0:43 - noch keine Kommentare
KI-Training mit persönlichen Daten: Meta startet im Mai 2025
weitere Beiträge in Experten
- Beziehungsende: Jeder Achte verabschiedet sich mit Ghosting
- eco fordert für Europa dringend Nachfolger für CVE-Datenbank in den USA
- Der Web-Tatort: Cyber-Mobbing kann junge Menschen krank machen
- Windows 10: BSI empfiehlt Upgrade oder Wechsel des Betriebssystems nach Support-Ende
- Zunehmendes Unbehagen vor Telefonaten: Ein Drittel hat bereits notwendige Anrufe aufgeschoben
Aktuelles, Branche - Apr. 17, 2025 0:21 - noch keine Kommentare
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025
weitere Beiträge in Branche
- DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur
- Luftfahrt-Infrastruktur unter Druck: Flugreisen in den Osterferien erhöhen Herausforderungen
- McAfee warnt: Betrüger nehmen gerne junge Urlauber ins Visier
- eco kommentiert AI Continent Action Plan der EU-Kommission
- BEC-Angreifer: Beuteforderungen verdoppelten sich innerhalb eines Quartals
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren