Black Basta: Neue Erkenntnisse zur berüchtigten Ransomware
von Tina Siering
Neue Analyse-Ergebnisse: Das macht Black Basta so gefährlich
Die Ransomware Black Basta ist zum ersten Mal im April 2022 in Erscheinung getreten und hat sich seitdem mit rasender Geschwindigkeit ausgebreitet. Bis September 2022 hat die Malware die Netzwerke von über 90 Organisationen kompromittiert.
Jetzt hat das Forschungslabor SentinelLabs einen Bericht mit neuen Analysen und Erkenntnissen zu Black Basta publiziert. Die Sicherheitsforscher hatten Anfang Juni 2022 damit angefangen, die Aktivitäten von Black Basta zu verfolgen, nachdem ihnen bei vordergründig unterschiedlichen Fällen Überschneidungen aufgefallen waren.
Dem Bericht zufolge lässt die hohe Anzahl an Black-Basta-Ransomwareangriffen innerhalb einer derart kurzen Zeitspanne darauf schließen, dass die Cyberkriminellen hinter der Erpressungssoftware sehr gut organisiert und ausgestattet sind. Doch es gebe aktuell keine Anhaltspunkte dafür, dass die Akteure Partner anwerben oder die Ransomware auf Crimeware-Marktplätzen oder in Darknet-Foren als Ransomware as a Service (RaaS) anbieten.
Die Sicherheitsforscher von SentinelLabs haben vielmehr herausgefunden, dass die Black-Basta-Hacker ihr eigenes Toolkit entwickeln und pflegen. Sie agieren entweder gänzlich ohne Partner oder arbeiten lediglich mit einer begrenzten Anzahl an Vertrauten zusammen. Dieses Verhalten erinnert stark an andere private und äußerst aggressive Ransomware-Gruppen wie Conti, Evilcorp oder TA505.
Angesichts der Ähnlichkeiten in Code und Einsatzweise der Schadprogramme (Angreifer verwenden benutzerdefinierte EDR-Umgehungstools) gehen die Analysten von SentinelLabs davon aus, dass die Akteure hinter der Black-Basta-Malware dieselben sind, die den bei FIN7-Angriffen verwendeten Packer-Quellcode zur Verfügung stellten. Dies deutet auf eine mögliche Verbindung zwischen den beiden Hackergruppen hin. FIN7 gilt als Pionier in der Cybercrime-Szene und hat sich mit seinen Attacken auf Banken und PoS-Systeme einen Namen gemacht. Die Komplexität der Angriffe übersteigt dabei die der Mitstreiter.
Black Basta: Diese TTPs nutzen die Cyberkriminellen
Der SentinelLabs-Bericht beinhaltet eine genaue Analyse der operativen TTPs von Black Basta. TTP ist die Abkürzung für Tactics, Techniques and Procedures. Es geht dabei also um die Strategien, Methoden und Prozesse, welche die Hacker anwenden, um ihre Ziele zu erreichen. Dies sind die Ergebnisse:
Erste Zugriffsaktivitäten
Wie die Forscher berichten, waren die ersten Kompromittierungen mit der Malware „QakBot“ erfolgt. Diese Schadsoftware wurde über Phishing-E-Mails verbreitet, die makrobasierte MS-Office-Dokumente, ISO+LNK-Dateien sowie .docx-Dokumente enthielten. Diese schädlichen Dateien nutzen die MSDTC-Schwachstelle CVE-2022-30190 zur Remotecode-Ausführung aus.
Update zu ISO+LNK-Dateien (Stand 16.11.2022): Die neuesten Patchday-Updates von Microsoft beheben auch die Schwachstelle, die im Zusammenhang mit der Sicherheitsfunktion Mark-of-the-Web (MotW) steht (CVE-2022-41091). Zuvor war es so, dass bei Öffnen eines ISO-Anhangs und Doppel-Klick auf die eingeschlossene LNK-Datei, diese automatisch ausgeführt wurde, ohne dass Windows eine Sicherheitswarnung anzeigte. Nach der Installation des Sicherheitsupdates überträgt Windows nun das Mark of the Web-Flag von der ISO-Datei auf alle Inhalte und beim Starten der LNK-Datei wird ordnungsgemäß eine Sicherheitswarnung eingeblendet.
Reconnaissance-Phase (Informationssammlung)
Sobald sich die Angreifer mittels Black-Basta durch die QakBot-Backdoor mit dem Netzwerk des Opfers verbinden, erfolgt die manuelle Reconnaissance. Hierbei bedienen sich die Hacker Reconnaissance-Programmen, die auf dem Systemlaufwerk C:\ in einem Verzeichnis mit irreführenden Namen wie „Intel“ oder „Dell“ bereitgestellt werden. Der erste Schritt einer Black Basta-Kompromittierung beinhaltet gewöhnlich das Ausführen einer verschleierten Version von AdFind. In dieser Phase werden häufig auch zwei benutzerdefinierte, nicht verschleierte .NET-Assemblies in den Arbeitsspeicher geladen, um verschiedene Aufgaben zum Sammeln von Informationen auszuführen.
Remote Administration Tools
Die Black-Basta-Gruppe setzt eine Reihe von Remote Administration Tools (RAT) ein. Die Angreifer legen ein selbstextrahierendes Archiv ab, das alle Dateien enthält, die zum Ausführen der Netsupport-Manager-Anwendung erforderlich sind. Darüber hinaus haben die Analysten die Verwendung von Splashtop, GoToAssist, Atera Agent sowie SystemBC beobachtet, das von verschiedenen Hackern als SOCKS5 TOR-Proxy für die Kommunikation, die Datenexfiltration und das Herunterladen maliziöser Module verwendet wurde.
Schwächung der Abwehr
Die Black-Basta-Gruppe nutzt unterschiedliche Methoden zur (lateralen) Seitwärtsbewegung und setzt verschiedene Batch-Skripte ein, um das Beenden von Prozessen und Diensten zu automatisieren und Abwehrmechanismen zu schwächen. Mit einem exklusiven benutzerdefinierten Tool deaktivieren sie Microsoft Defender Antivirus, wobei die Ansicht in der grafischen Benutzungsschnittstelle (GUI) perfekt gefälscht wird und dem Anwender mithilfe von grünen Häkchen weiterhin vortäuscht, dass der Systemstatus in Ordnung sei.
Quelle: SentinelOne
Damit schützen Sie Ihre Organisation vor der Black-Basta-Bedrohung
1. Endpoint Protection
Über 80 Prozent aller Cyberattacken richten sich gegen Endpunkte wie Smartphones, Notebooks oder Workstations. Deshalb sollten Sie eine Endpoint Protection Platform (EPP) einsetzen, die Endpunkte präventiv vor Malware schützt. Die Software blockiert bekannte Schadprogramme am Eintrittspunkt mithilfe von integrierten Schutzmechanismen wie Firewall- und IPS-Funktionen sowie signaturbasierten Malware-Abwehrmechanismen.
2. Managed-Detection-and-Response-Lösungen
Eine Managed-Detection-and-Response-Lösung (MDR) kann Ihre Organisation selbst dann noch effektiv schützen, wenn Malware bereits erfolgreich im Netzwerk platziert und aktiviert ist. MDR-Lösungen wie der Active Cyber Defense (ACD) Service von Allgeier secion scannen das Unternehmensnetzwerk proaktiv und kontinuierlich auf Anomalien, sodass maliziöse Command-and-Control-Kommunikation frühzeitig detektiert wird. Ist im Falle einer Kompromittierung Handlungsbedarf erforderlich, informiert das ACD-Team von Allgeier secion Ihr IT-Team umgehend. So können Sie Schäden durch Angreifer rechtzeitig abwenden.
Der 24/7-Full Managed Service fungiert so als Frühwarnsystem, das Ihr Unternehmensnetzwerk aktiv, vorausschauend und permanent absichert. Dabei werden alle Systeme innerhalb Ihres Netzwerks in die Überwachung mit einbezogen – neben Desktops und Servern beispielsweise auch Laptops, Mobiltelefone und Tablets sowie Netzwerkgeräte, Drucker, IoT, ICS und BYOD. Für die Nutzung der ACD-Lösung bedarf es keiner Installation von Agents auf Clients. Es wird auf Netzwerkebene geprüft, ob Systeme zu Command-and-Control-Servern kommunizieren und somit kompromittiert sind.
3. IR-Readiness-Programm
Mit Incident Response (IR) Readiness sind Sie auf den Ernstfall optimal vorbereitet undstellen sicher, dass Sie über angemessene Ressourcen und Kompetenzen verfügen, um frühzeitig Anzeichen für einen Cyberangriff zu erkennen und schnell darauf reagieren zu können. Hierfür wird eine auf Ihr Unternehmen abgestimmte Abwehrstrategie entwickelt und - darauf basierend - technische und organisatorische Maßnahmen abgeleitet.
Die Cyber Security Consultants von Allgeier secion überprüfen Ihre bestehende Strategie zur Identifizierung von Cybersicherheitsvorfällen und helfen Ihnen dabei, die erforderlichen Werkzeuge bereitzustellen, mit denen Sie einen Sicherheitsvorfall optimal managen können.
Fazit
Bei Black Basta handelt es sich um eine ernstzunehmende Ransomware-Hackergruppe, die in nur wenigen Monaten zahlreiche Organisationen angegriffen hat. Zu ihren prominentesten Opfern zählen der Autovermieter Sixt und die Deutsche Presse-Agentur (dpa). Indem sie sensible Daten im Darknet veröffentlichen, erpressen die Täter ihre Opfer mit Lösegeldern im Millionenbereich. Sicherheitsforscher sehen in der Herangehensweise Parallelen zu anderen erfolgreichen Cybercrime-Banden wie Conti und FIN7.
Da Organisationen und Unternehmen weltweit mit Angriffen der Black-Basta-Gruppe rechnen müssen, sind jetzt proaktive Schutzmaßnahmen gefordert, wie z.B. effektive Cyber Threat Hunting-Tools. Sicherheitsexperten raten daher zu Managed-Detection-and-Response-Lösungen (MDR) wie dem Active Cyber Defense (ACD)- Service von Allgeier secion.
Die Security Analysten von Allgeier secion überwachen die IT-Infrastruktur rund um die Uhr und informieren bei Handlungsbedarf unmittelbar. Verdachtsfälle werden direkt nach erfolgter Kompromittierung des Systems identifiziert und Incident Response-Maßnahmen können gezielt und rechtzeitig eingeleitet werden – bevor ein Schaden entsteht.