Conti-Nachfolger?

Spekulationen um Ransomware-Gruppe Black Basta

Die Ransomware-Gruppe Black Basta soll hinter den Hacks auf Sixt, Fendt und Deutsche Windtechnik stecken. Es werden Verbindungen zu Conti vermutet.
Von 
CSO | 08. Juni 2022 05:19 Uhr
Die IT-Security-Branche fürchtet, dass sich hinter der Ransomware von Black Basta die Hackergruppe Conti verstecken könnte.
Die IT-Security-Branche fürchtet, dass sich hinter der Ransomware von Black Basta die Hackergruppe Conti verstecken könnte.
Foto: PR Image Factory - shutterstock.com

Ende April wurde Sixt Opfer eines Cyberangriffs. Obwohl der Autovermiter den Angriff nach eigenen Angaben frühzeitig eindämmen konnte, waren die Services eingeschränkt. Nun sind dem Spiegel zufolge doch Kundendaten in die Hände Dritter gelangt. Knapp zwei Wochen nach der Attacke stand in Marktoberdorf auch die Produktion des Traktorenherstellers Fendt still. Deutsche Ermittler sollen für beide Vorfälle die neue Ransomware-Gruppe Black Basta im Visier haben.

Wie das Malware Hunter Team auf Twitter mitteilte, sei auch die Deutsche Windtechnik AG auf der Leak-Seite von Black Basta aufgetaucht. Der Cyberangriff auf den Betreiber von Windenergieanlagen geschah in der Nacht vom 11. auf den 12. April.

Black Basta verschlüsselt Daten

Das Sicherheitsunternehmen Cyble hat die Aktivitäten von Black Basta genauer unter die Lupe genommen. Seit April 2022 sei die Gruppe aktiv und habe mittlerweile 18 Unternehmen angegriffen, wobei die meisten davon in den USA ansässig seien. Den Analysen zufolge scheint Black Basta in erster Linien auf die Bau- und Fertigungsindustrie abzuzielen.

Laut Cyble ist die Ransomware der Hackergruppe eine konsolenbasierte ausführbare Datei und kann nur mit Administratorrechten ausgeführt werden. Nach der Ausführung lösche das Schadprogramm Schattenkopien aus dem infizierten System mit dem Befehl "vssadmin.exe". Diese Aktion entferne die Windows-Sicherung, damit die Opfer das System nach der Verschlüsselung nicht mehr in seinen ursprünglichen Zustand zurücksetzen können. Im Anschluss wird auf dem Desktop-Hintergrund eine Lösegeldforderung angezeigt.

Black Basta als Nachfolger von Conti?

Die Verschlüsselung von Daten, um Lösegelder für diese zu erpressen, ist eine gängige Cybercrime-Praktik. Es sind die Ähnlichkeiten der Angriffstaktiken, welche die Security-Branche spekulieren lassen, ob Black Basta ein Nachfolger der Ransomware-Gruppe Conti ist.

Ähnlich seien die Leak-Seiten sowie die Webseiten, über die Opfer die Lösegelder bezahlen sollen. Zudem sei die Art und Weise, wie Black Basta spricht und handelt, dem Stil von Conti sehr ähnlich, wie Blackberry in einem Blog schreibt.

Merkwürdig scheint dem Hersteller jedoch die Tatsache, dass Conti nach wie vor aktiv ist, was an einer Verbindung der beiden Gruppen zweifeln lässt. Blackberry berichtet von Internetbeiträgen eines Conti-Mitgliedes, welche besagen, dass trotz des Daten-Leaks der Ransomware-Gruppe neue Operationen im Gange seien.

Eine andere Theorie haben die Sicherheitsforscher von Trend Micro, die Ähnlichkeiten mit der Hackergruppe Blackt Matter feststellten. Wie Black Matter implementiere auch Black Basta eine Benutzerverifizierung auf ihrer Tor-Website. Weitere Zusammenhänge fanden die Experten zu der Malware "Qakbot".

Schutz vor der Black Basta Ransomware

Unabhängig davon, wer hinter der Ransomware steckt, sollten CISOs nun Sicherheitsmaßnahmen ergreifen. Cyble gibt online einige Tipps, wie sich Unternehmen vor Ransomware schützen können:

  • sichere Kennwörter verwenden und nach Möglichkeit die mehrstufige Authentifizierung erzwingen;

  • die automatische Softwareaktualisierung auf allen Geärten aktivieren;

  • Antiviren-Lösungen auf allen Geräten verwenden;

  • keine verdächtigen und nicht vertrauenswürdigen Links und E-Mail-Anhänge öffnen, erst ihre Authentizität prüfen;

  • Mitarbeiter schulen;

  • URLs blockieren, die die Malware verbreiten könnten, zum Beispiel Torren oder Warez;

  • den Beacon auf Netzwerkebene überwachen, um die Datenexfiltration durch Malware zu blockieren;

  • Data-Loss-Prevention-Lösungen auf allen Systemen aktivieren.

Lesetipp: Ist REvil zurück?

Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.