[datensicherheit.de, 31.08.2022] Die „Unit 42“, das Malware-Analyse-Team bei Palo Alto Networks, hat einen Bericht veröffentlicht, der Details über die Ransomware-Gruppe „Black Basta“ enthält, die demnach erstmals im April 2022 aufgetaucht ist und seitdem auf dem Vormarsch sei. Die „Incident Responders“ der „Unit 42“ hätten bereits auf mehrere „Black Basta“-Ransomware-Fälle reagiert.

Seit Auftauchen der Ransomware Mitglieder der Gruppe sehr aktiv bei Verbreitung und Erpressung von Unternehmen

Seit dem Auftauchen dieser Ransomware seien die Mitglieder der Gruppe sehr aktiv bei der Verbreitung und Erpressung von Unternehmen. „Die Angreifer betreiben einen Marktplatz für Cyber-Kriminalität und einen Blog, in dem die Gruppe die Namen ihrer Opfer, Beschreibungen, den Prozentsatz der Veröffentlichung, die Anzahl der Besuche und alle exfiltrierten Daten auflistet.“

Obwohl die Mitglieder erst seit ein paar Monaten aktiv seien, hätten sie nach den auf ihrer Leak-Site veröffentlichten Informationen bereits mehr als 75 Unternehmen und Institutionen kompromittiert.

Black Basta als Ransomware as a Service

„Black Basta“ sei eine „Ransomware as a Service“ (RaaS), welche erstmals im April 2022 aufgetaucht sei. Es gebe jedoch Hinweise darauf, dass sie sich seit Februar 2022 in der Entwicklung befindet. Die Betreiber von „Black Basta“ wendeten eine doppelte Erpressungstechnik an. Sie verschlüsselten nicht nur Dateien auf den Systemen der Angriffsziele und forderten Lösegeld für die Entschlüsselung, sondern unterhielten auch eine Leak-Site im DarkWeb, auf der sie damit drohten, sensible Informationen zu veröffentlichen, falls ein Opfer kein Lösegeld zahlt.

Die Partner von „Black Basta“ seien seit dem ersten Auftauchen der Ransomware sehr aktiv bei der Verbreitung von „Black Basta“ und der Erpressung von Unternehmen. „Obwohl sie erst seit ein paar Monaten aktiv sind, haben sie nach den auf ihrer Leak-Site veröffentlichten Informationen zum Zeitpunkt dieser Veröffentlichung bereits über 75 Unternehmen und Institutionen infiziert.“ Die „Unit 42“ habe auch bereits an mehreren „Black Basta“-Fällen gearbeitet.

Ransomware in C++ gefährlich für Windows und Linux

Die Ransomware sei in „C++ „geschrieben und wirke sich sowohl auf „Windows-“ als auch auf „Linux“-Betriebssysteme aus. Sie verschlüssele die Daten der Benutzer mit einer Kombination aus „ChaCha20“ und „RSA-4096“. Um den Verschlüsselungsprozess zu beschleunigen, verschlüssele die Ransomware in Abschnitten von 64 Byte, wobei 128 Byte Daten zwischen den verschlüsselten Bereichen unverschlüsselt blieben. „Je schneller die Ransomware verschlüsselt, desto mehr Systeme können potenziell kompromittiert werden, bevor die Verteidigungsmaßnahmen ausgelöst werden.“ Dies sei ein entscheidender Faktor, auf den die Partner achteten, „wenn sie sich einer ,Ransomware-as-a-Service’-Gruppe anschließen“.

Die „Unit 42“ hat nach eigenen Angaben beobachtet, „dass die ,Black Basta’-Ransomware-Gruppe ,QBot’ als ersten Einstiegspunkt nutzt, um sich seitlich in kompromittierten Netzwerken zu bewegen. ,QBot’, auch bekannt als ,Qakbot’, ist ein ,Windows’-Malware-Stamm, der als Banking-Trojaner begann und sich zu einem Malware-Dropper entwickelte“. Er sei auch von anderen Ransomware-Gruppen verwendet, darunter „MegaCortex“, „ProLock“, „DoppelPaymer“ und „Egregor“. Während diese Ransomware-Gruppen „QBot“ für den Erstzugang genutzt hätten, sei die „Black Basta“-Gruppe dabei beobachtet worden, „wie sie ,QBot’ sowohl für den Erstzugang als auch für die seitliche Verbreitung im Netzwerk einsetzte“.

Möglicherweise Neuauflage einer früheren Ransomware-Gruppe

Da die „Black Basta“-Angriffe im Jahr 2022 weltweit aufsehenerregend gewesen und immer wieder aufgetreten seien, „ist es wahrscheinlich, dass die Betreiber und/oder die mit ihnen verbundenen Partner, die hinter dem Dienst stehen, weiterhin Unternehmen angreifen und erpressen werden“.

Es sei auch möglich, dass es sich nicht um eine neue Operation handele, sondern eher um eine Neuauflage einer früheren Ransomware-Gruppe, welche ihre Partner mitgebracht habe. Aufgrund zahlreicher Ähnlichkeiten in den Taktiken, Techniken und Verfahren (wie „Victim Shaming“-Blogs, Wiederherstellungsportale, Verhandlungstaktiken und die Art und Weise, wie schnell „Black Basta“ seine Opfer gesammelt habe) könnte die Gruppe aktuelle oder ehemalige Mitglieder der „Conti“-Gruppe umfassen.

Überblick zu wichtigen Ergebnisse der Untersuchung der neuen Ransomware:

• Die RaaS nutzt Doppelte Erpressung als Teil der Angriffe.
• Daten von mindestens 20 Opfern wurden in den ersten zwei Wochen des Einsatzes der Ransomware auf der Leak-Site veröffentlicht.
• Die Gruppe hat Berichten zufolge mehrere große Unternehmen aus den Bereichen Verbraucher- und Industrieprodukte, Energie, Ressourcen und Landwirtschaft, Fertigung, Versorgungsunternehmen, Transport, Regierungsbehörden, freiberufliche Dienstleistungen und Beratung sowie Immobilien angegriffen.

Weitere Informationen zum Thema:

UNIT42, Amer Elsad, 25.08.2022
Threat Assessment: Black Basta Ransomware

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks.

[datensicherheit.de, 20.05.2022] Laut Medienberichten soll es in den vergangenen Tagen zu fortlaufenden Ransomware-Attacken der cyber-kriminellen Hacker-Gruppe „Conti“ auf die Regierung Costa Ricas gekommen sein. Alex Hinchliffe, „Threat Intelligence Analyst“ bei der „Unit42“ von Palo Alto Networks, geht in seiner aktuellen Stellungnahme auf diesen Vorfall ein:

Foto: Palo Alto Networks

Alex Hinchliffe: Wir haben bereits gesehen, wie Conti Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte…

Conti gilt seit 2020 als eine der rücksichtslosesten Ransomware-Gangs

„Dass die Hacker-Gruppe ,Conti‘ eine ganze Regierung ins Visier genommen hat, ist nun nicht unbedingt eine Überraschung. Wir haben bereits gesehen, wie ,Conti‘ Angriffe auf Krankenhäuser, Rettungsdienste und Strafverfolgungsbehörden durchführte und dabei doppelte Erpressungstechniken einsetzte, um Opfer dazu zu bringen, ein Lösegeld zu zahlen“, berichtet Hinchliffe.

„Conti“ habe sich seit ihrer Entstehung im Jahr 2020 immer als eine der rücksichtslosesten Ransomware-Gangs hervorgetan. Sie operierten ohne einen „Ehrenkodex“, den einige andere Hacker-Gruppen zu beachten behaupteten, wenn es darum geht, lebenswichtige oder besonders gefährdete Opfer anzugreifen.

Geld offenbar der Conti-Motivationsfaktor für solche Angriffe

Geld sei der Motivationsfaktor für solche Angriffe. Hinchliffe: „Sie haben ihre Forderungen schnell und deutlich erhöht und belaufen sich im Jahresdurchschnitt auf rund 1,78 Millionen US-Dollar – ihre höchste anfängliche Zahlungsanforderung betrug drei Millionen US-Dollar.“

In diesem Fall hätten die Angreifer 20 Millionen US-Dollar gefordert – eine Verdoppelung der vorherigen Forderung von zehn Millionen US-Dollar. „Anscheinend bot ,Conti‘ an, das Lösegeld zu verringern, und sagte, wenn die Regierung zahlt, werden sie aufhören, private Institutionen in der Region anzugreifen.“

Conti als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen

Hinchliffe führt weiter aus: „In der Vergangenheit haben wir einen Anstieg der Techniken der Doppelten Erpressung gesehen – das Herausschleusen von Daten, um sie als Druckmittel gegen die Opferorganisation zu verwenden, um Gelder zu erpressen – und so etwas wie das, was hier gemeldet wird, könnte eine weitere Wendung sein, um Angriffe gegen andere anzudrohen, es sei denn, das Opfer zahlt.“ Dies spiegele wider, wie sehr „Conti“ als organisiertes kriminelles Unternehmen mit geschäftsähnlichen Strukturen agiere. Diese seien aufgedeckt worden, als „Conti“ einen eigenen Leak erlitten habe, „der sehr gut organisierte Teamstrukturen und definierte Rollen offenbarte“.

Typischerweise arbeite „Conti“ sehr opportunistisch und nutze bekannte Schwachstellen aus, um in Systeme einzudringen und sich seitlich über interne Geräte zu bewegen. „Wir wissen bereits, dass sie ,CVE-2021-34473‘, ,CVE-2021-34523‘ und ,CVE-2021-31207‘ (,ProxyShell‘) bei ihren Ransomware-Angriffen verwendet haben und dann im Dezember 2021 erfolgreich mit der Ausnutzung von ,CVE-2021-44228‘, bekannt als ,Log4Shell‘, begonnen haben”, ergänzt Hinchliffe abschließend.

Weitere Informationen zum Thema:

golem.de, Lennart Mühlenmeier, 10.05.2022
Conti-Gang: Costa Rica ruft wegen Ransomware den Notstand aus

datensicherheit.de, 18.05.2021
HSE-Ransomware-Attacke: Hacker-Gruppe Conti mutmaßlicher Täter / Ende der 19. KW 2021 wurde die irische Gesundheitsbehörde HSE Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe Conti, meldet Palo Alto Networks

[datensicherheit.de, 18.05.2021] Als neue Episode einer gegenwärtig offensichtlich „nicht abebbenden Welle an Cyber-Attacken“ wurde Ende der 19. Kalenderwoche 2021 auch die irische Gesundheitsbehörde HSE (Health Service Executive) Opfer eines Angriffs mit Ransomware – durch die Hacker-Gruppe „Conti“, meldet Palo Alto Networks. Paul Donegan, „Country Manager, Ireland“ bei Palo Alto Networks kommentiert diesen Vorfall und liefert eine Analyse der Vorgänge und der Beteiligten.

Foto: Palo Alto Networks

Paul Donegan: Laut unserem Ransomware Threat Report 2021 hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt

Ransomware-Betreiber ständig in Bewegung – sie verbessern und automatisierten ihre Aktivitäten

„Was die HSE tut, ist absolut richtig, um das Problem einzudämmen. Die Bekämpfung eines Ransomware-Angriffs ist extrem schwierig, aber ähnlich wie der Schutz von Organisationen vor anderen Malware-Angriffen, obwohl die Risiken viel größer sind“, so Donegan. Dieser Angriff auf das irische Gesundheitssystem sei ein weiteres Indiz dafür, „dass Ransomware-Betreiber ständig in Bewegung sind“: Sie verbesserten und automatisierten ihre Aktivitäten und würden immer effektiver, „wenn es darum geht, immer größere Organisationen anzugreifen“.
Sie bekämen zudem viel mehr Geld für ihre Bemühungen. „Laut unserem ,Ransomware Threat Report 2021‘ hat sich das durchschnittlich gezahlte Cyber-Lösegeld im Jahr 2020 mehr als verdoppelt – auf 312.493 US-Dollar im Vergleich zu 2019. Im Jahr 2021 hat sich die durchschnittliche Zahlung im Vergleich zum Vorjahr fast verdreifacht – auf etwa 850.000 US-Dollar. Die höchste Forderung, die wir in den letzten vier Monaten gesehen haben, lag bei 50 Millionen Dollar – im Vergleich zu 30 Millionen Dollar im gesamten Jahr 2020.“

Zero Trust schränkt Fähigkeit des Ransomware-Angreifers ein, sich durch das Netzwerk zu bewegen

„Eine Zero-Trust-Architektur ist der effektivste Weg, die Cyber-Assets und -Infrastruktur eines Unternehmens zu schützen. Mit dem richtigen Design funktioniert sie unabhängig von der Netzwerktopologie des Unternehmens. Das treibende Prinzip von ,Zero Trust, lautet ,Niemandem vertrauen, alles überprüfen‘“, erläutert Donegan.
Es helfe den implementierenden Sicherheitsteams, ihre Umgebung gegen alle bekannten Angriffsvektoren, einschließlich böswilliger Insider- und Phishing-Angriffe, zu verteidigen. Donegan führt aus: „,Zero Trust‘ schränkt die Fähigkeit des Angreifers ein, sich durch das Netzwerk zu bewegen. Es macht Sicherheitsadministratoren auf die Aktivitäten des Angreifers aufmerksam, während er versucht, sich durch das Netzwerk vorzuarbeiten.“

Palo Alto Networks zu den Hintergründen der Ransomware-Attacke auf HSE:

Hinter dem Angriff auf die zentrale irische Gesundheitsbehörde HSE steckt laut Palo Alto Networks „aller Wahrscheinlichkeit nach die Hacker-Gruppe ,Conti‘“. Diese habe beim Angriff auf die HSE einen „Spray and Pray“-Ansatz verwendet, um Netzwerke zu infizieren. „Dies bedeutet, dass die Gruppe am Ende eine breite Palette von Zielen infiziert, um große und kleine Organisationen in Branchen wie dem Gesundheitswesen, der Energiewirtschaft und Regierungsbehörden treffen.“ Sobald ein Netzwerk kompromittiert ist, „gräbt sich ,Conti‘ tief ein“. Die Kriminellen träten in Aktion und praktizierten die sogenannte Doppelte Erpressung (Double Extortion): Sie verschlüsselten Daten und verlangten eine Zahlung für „Entschlüsselungs-Schlüssel“.
Palo Alto Networks warnt: „Sie stehlen auch Daten und drohen, sie zu veröffentlichen.“ Malware-Forscher von Palo Alto Networks haben demnach beobachtet, dass die Cyber-Kriminellen Lösegelder zwischen 500.000 und 10.000.000 US-Dollar forderten. Die Höhe des Lösegelds hänge davon ab, wie leicht das Unternehmen wieder online gehen könnte, wie viel Schaden durch die Freigabe der gestohlenen Daten entstehen würde und wie zahlungsfähig das Opfer sei.

Ransomware-Angreifer Conti verspricht Nachweis der Löschung gestohlener Daten bei Lösegeldzahlung

„Conti“ verspreche, „den Nachweis zu erbringen, dass gestohlene Daten gelöscht wurden, wenn die Opfer zahlen“. Es würden Beispiele von angeblich großen Mengen gestohlener Daten veröffentlicht, und es werde damit gedroht, diese auf einer Leak-Site namens „Conti News“ zu veröffentlichen, wenn die Opfer nicht zahlen.
Diese Gruppe Cyber-Krimineller hielten sich indes nicht immer an diese Versprechen: „Sie sagt zum Beispiel, dass sie Beweise dafür liefern wird, dass sie gestohlene Daten gelöscht hat, und tut dies dann doch nicht. Manchmal ist sie nicht in der Lage, den Beweis zu erbringen, dass sie tatsächlich so viele Daten gestohlen hat, wie behauptet.“ Dies stehe im Gegensatz zu einigen anderen Cyber-Erpresserbanden, welche sich stärker als „vertrauenswürdige“ Akteure darstellten, „die ihre Versprechen einhalten, wenn die Opfer Lösegeld zahlen“.

Ransomware-Gruppe DarkSide gibt vor, unter formalem Verhaltenskodex zu operieren

„DarkSide“, die Gruppe hinter dem jüngsten Angriff auf Colonial Pipeline, gebe vor, unter einem formalen Verhaltenskodex zu operieren und sich um die Qualität ihres „Kundendienstes“ zu kümmern: „Wenn die Opfer zahlen, wird ,DarkSide‘ seinen guten Willen zu demonstrieren, einschließlich der Bereitstellung von Entschlüsselungs-Schlüsseln und der Vorlage von Beweisen, die zeigen, dass gestohlene Daten gelöscht wurden. Die Gruppe wird den Opfern mitteilen, wie sie an die Daten gelangt ist, damit sie einen erneuten Angriff verhindern können.“
Nach dem Angriff auf Colonial Pipeline erklärte sie sich in einer offiziellen „Pressemitteilung“: Die Gruppe habe mitgeteilt, sie wolle nur Profit machen und keine weitreichende Störung der Gesellschaft verursachen. „Sie versprach zudem, die Wahl der Opfer in Zukunft sorgfältiger zu überprüfen, so dass ihre Aktivitäten weniger störend sein würden.“

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, 17.03.2021
Highlights from the 2021 Unit 42 Ransomware Threat Report

datensicherheit.de, 14.05.2021
Signifikanter Ransomware-Angriff auf IT-Systeme der Health Service Executive / Staatliches Gesundheitssystems Irlands meldet Abschaltung der eigenen IT-Systeme als Reaktion auf Ransomware-Attacke

datensicherheit.de, 12.05.2021
DarkSide: RaaS-Attacke gegen Colonial Pipeline / Junge Ransomware-Familie DarkSide erstmals im August 2020 aufgetreten