Saturday, August 13th, 2022

CYBERSICHERHEITSPROFIS WARNEN VOR RANSOMWARE „BLACK BASTA“

Cybersicherheitsexperten sind besorgt über Black Basta, eine hochgefährliche Malware.

Cyberkriminelle glauben, dass die Störung etablierter Unternehmen der Schlüssel zum Überleben in der sich digital verändernden Umgebung ist. Diese Denkweise inspiriert sie dazu, mächtige Offensivstrategien zu erfinden und zu entwickeln. Unternehmen verbessern ihren Cybersicherheits-Perimeter. Dies hat dazu geführt, dass sich einzelne Kriminelle mit gleichgesinnten Spielern zu Ransomware-Gangs zusammengeschlossen haben. Indem sie ihre Kräfte bündeln, können sie mehr Unternehmen gleichzeitig angreifen und größere Belohnungen erhalten. Die Datenberichte von BlackFog für 2022 zeigen, dass Ransomware-Banden und feindliche Hacker Sektoren wie Technologie, Fertigung und Gesundheitswesen ins Visier nehmen. Die Auswirkungen dieser Banden lassen sich am plötzlichen Anstieg der Ransomware-Nachfrage messen, die 2021 gegenüber 2020 um 518 Prozent gestiegen ist. Black Basta ist die neueste Ransomware-Gruppe, die auftaucht.

Beweise zeigen, dass der Ransomware-Stamm bereits im Februar 2022 in der Entwicklung war. Erst als in Dark-Web-Foren für den Kauf und die Monetarisierung des Zugangs zum Unternehmensnetzwerk gegen eine Kürzung geworben wurde, wurde er ab April für Angriffe eingesetzt . Die Bande zielte auf Unternehmen aus allen Branchen und geografischen Regionen ab. In weniger als einem Monat hatte diese cyberkriminelle Bande 12 Unternehmen kompromittiert, darunter die American Dental Association (ADA) und die Deutsche Windtechnik (DWT).

Dieser Ransomware-Ring verwendet eine Vielzahl von Erpressungsmethoden, um an die Black Basta-Ransomware zu gelangen. Es ist notwendig, administrativen Zugriff auf den Verschlüsselungsalgorithmus zu haben, damit er verwendet werden kann. Diese Malware-Bande ist schwer zu entdecken, da sie im Verborgenen arbeitet und selten irgendwelche Anzeichen zeigt. Alle derzeit laufenden Windows-Dienste können übernommen werden, um den Algorithmus zu initiieren, einschließlich des Windows-Faxdienstes. Es stiehlt auch private und vertrauliche Unternehmensdaten, bevor es verschlüsselt wird. Die Ransomware-Gang droht dem Opfer mit der Freilassung, wenn es nicht zahlt. Die Bande nutzt doppelte Erpressung, um Druck auf das Geschäft auszuüben, und veröffentlicht ein paar Dateien gleichzeitig online.

Nach dem Diebstahl wird jede Datei auf dem Computer des Opfers verschlüsselt und mit der Erweiterung „.basta“ versehen. Ransomware ändert den Desktop-Hintergrund des Opfers, sodass die folgende Warnmeldung angezeigt wird: „Ihr Netzwerk wurde von der Black Basta Group verschlüsselt.“ Eine Anleitung finden Sie in der Datei readme.txt. Der Link und die ID, die zum Aushandeln des Lösegelds erforderlich sind, befinden sich ebenfalls in dieser Textdatei. Ransomware leitet Opfer auch zu den Websites „Black Basta Blog“ oder „Basta News“, die von der Tor-Netzwerkbande gehostet werden. Diese Seiten zeigen eine Liste, die alle Black-Basta-Opfer enthält, die sich geweigert haben, Wiedergutmachung zu leisten. Der Cybersicherheitsspezialist Michael Gillespie untersuchte den von dieser Ransomware verwendeten Verschlüsselungsprozess und stellte fest, dass der ChaCha20-Algorithmus zum Verschlüsseln von Daten verwendet wurde. Diese ChaCha20-Verschlüsselungsmethode verwendet einen starken öffentlichen RSA-4096-Schlüssel.

Black Basta verwendet die bewährte doppelte Erpressungsstrategie, ähnlich wie in der Vergangenheit Ransomware-Operationen, um sensible Informationen von Zielen zu stehlen, und droht, die gestohlenen Daten freizugeben, wenn keine digitale Zahlung erfolgt ist.

QBot (auch bekannt als Qakbot) wurde verwendet, um die Persistenz auf kompromittierten Systemen zu sichern und Anmeldeinformationen zu sammeln, bevor die dateiverschlüsselnde Malware seitlich über das Netzwerk verbreitet wird.

Berichten zufolge besteht Conti aus Black Basta-Mitgliedern. Es stellte den Betrieb ein, nachdem es einer verstärkten Überprüfung durch die Strafverfolgungsbehörden ausgesetzt war.

Ivan Pisarev, Director of Cybersecurity von Group-IB, erklärte, dass die erhöhte Aktivität und das Datenleck von „Conti“ darauf hindeuten, dass Ransomware mehr als ein Spiel zwischen durchschnittlichen Malware-Designern geworden ist. Es handelt sich um ein illegales RaaS-Geschäft, das Hunderten von Cyberkriminellen mit unterschiedlichen Spezialisierungen weltweit Arbeitsplätze bietet. Obwohl es einige Monate her ist, dass die Ransomware Black Basta Chaos auf dem Markt angerichtet und Unternehmen zu narrensicheren Systemen gezwungen hat, ist es offensichtlich, dass ihre beabsichtigten Opfer der Cybersicherheit, die jetzt kostspielig wird, keine Priorität eingeräumt haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.