Ransomware as a Service
Neue Ransomware BlackCat greift um sich
Foto: Gennadii Komissarov - shutterstock.com
Über 60 Unternehmen soll die neue Ransomware as a Service (RaaS) "BlackCat" bereits angegriffen haben. Seit November 2021 ist die Ransomware bereits im Umlauf, nun warnte das FBI vor BlackCat.
Wer steckt hinter BlackCat?
BlackCat ist auch unter den Namen ALPHV und Noberus bekannt. Das Global Research und Analysis Team von Kaspersky hat die Aktivitäten der Hackergruppe analysiert und einen ausführlichen Bericht dazu auf Securelist veröffentlicht.
Die Entwickler von BlackCat bieten anderen Cyberkriminellen ihre Ransomware als Service an und erhalten im Gegenzug einen Anteil des erpressten Lösegelds. Den Analysten zufolge ist dieser Service der Grund, warum sich BlackCat so schnell verbreitet hat und mittlerweile bei Angriffen auf Unternehmen auf der ganzen Welt eingesetzt wird.
Geschrieben ist BlackCat als erste Ransomware in der Programmiersprache Rust. Diese ermöglicht es den Angreifern, ein plattformübergreifendes Tool mit Versionen der Malware zu entwickeln, die sowohl in Windows- als auch in Linux-Umgebungen funktionieren.
Um Daten aus infizierten Infrastrukturen zu exfiltrieren, nutzt BlackCat das Programm "Fendr". Dem FBI und Kaspersky zufolge deutet der Einsatz dieses Tools darauf hin, dass BlackCat eine Neuauflage der BlackMatter-Ransomware sein könnte. Die BlackMatter-Mitglieder seien bislang die einzigen gewesen, die das Tool Fendr, welches auch unter dem Namen ExMatter bekannt ist, eingesetzt haben.
Auch das Forensik-Team von Cisco, Talos, hat die Aktivitäten von BlackCat untersucht und ist auf Verbindungen zwischen den beiden Gruppen gestoßen: Bei einem BlackCat-Angriff im Dezember 2021 beobachtete es eine Domain, die für den Zugang zu einem Netzwerk verwendet wurde. Diese Domain sei auch bei einem BlackMatter-Angriff im September 2021 verwendet worden. Tools wie Fendr, aber auch Dateinamen und Angriffstechniken seien weitere Gemeinsamkeiten der Gruppen.
Zwar wissen die Analysten nicht, inwieweit BlackCat und BlackMatter zusammengehören, sie gehen jedoch davon aus, dass BlackMatter-Mitglieder zu den frühen Anwendern von BlackCat gehören. "Laut einem BlackCat-Vertreter ist BlackCat kein Rebranding von BlackMatter, aber das Team besteht aus Mitgliedern anderer RaaS-Gruppen, einschließlich BlackMatter", heißt es in dem Talos-Bericht.
Schutz vor Ransomware
Als beunruhigend bezeichnen die Kaspersky-Analysten die Entwicklung des Programms Fendr. Aktuell könne das Tool im Vergleich zu früheren Angriffen der BlackMatter-Gruppe eine deutlich größere Auswahl an Dateien herunterladen. Zudem enthalte das Programm die Funktion, Dateien mit diesen Erweiterungen zu finden: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt und .dxf. Solche Dateitypen tauchen häufig in Industrieanwendungen und Fernzugriffstools auf, was laut Kaspersky darauf hindeuten könnte, dass Malware-Entwickler Industrie-Unternehmen im Visier haben.
Um sich vor einer Ransomware wie BlackCat zu schützen, empfiehlt Kaspersky folgende Maßnahmen:
Statten Sie alle Unternehmensgeräte mit einer vertrauenswürdigen Sicherheitslösung aus.
Alle Mitarbeiter sollten für die IT-Sicherheit sensibilisiert werden.
Entwickeln Sie eine Anti-Ransomware-Strategie, um auf mögliche Vorfälle vorbereitet zu sein.
In den von Talos beschriebenen Angriffen dauerte es mehr als 15 Tage, bis die Hacker die Daten ihrer Opfer verschlüsselt hatten. Dies liege daran, dass Angreifer sich bei RaaS-Attacken viel Zeit nehmen würden, um die Umgebung zu erkunden und sich auf einen Angriff umfassend vorzubereiten. Den Analysten nach, hätten die Unternehmen die Verschlüsselung ihrer Daten verhindern können, hätten sie mehr Informationen über die Werkzeuge und Techniken der Angreifer gehabt. Auch effizientere Monitoring- und Incident-Response-Lösungen hätten helfen können, die Angriffe in frühen Stadien zu erkennen.
Kommt es trotz Prävention zur Verschlüsselung, rät das FBI davon ab, Lösegelder zu zahlen: "Die Zahlung ist keine Garantie, dass die Daten wiederhergestellt werden." Stattdessen kann die Zahlung die Kriminellen ermutigen, weitere Organisationen anzugreifen, oder neue Cyberangreifer auf den Plan rufen.
Unabhängig davon, ob Unternehmen die Lösegelder zahlen oder nicht, sollten sie die Vorfälle an die örtlichen FBI-Außenstelle melden. In Deutschland melden Sie Sicherheitsvorfälle an das BSI.