Conti-Nachfolger?
Spekulationen um Ransomware-Gruppe Black Basta
Foto: PR Image Factory - shutterstock.com
Ende April wurde Sixt Opfer eines Cyberangriffs. Obwohl der Autovermiter den Angriff nach eigenen Angaben frühzeitig eindämmen konnte, waren die Services eingeschränkt. Nun sind dem Spiegel zufolge doch Kundendaten in die Hände Dritter gelangt. Knapp zwei Wochen nach der Attacke stand in Marktoberdorf auch die Produktion des Traktorenherstellers Fendt still. Deutsche Ermittler sollen für beide Vorfälle die neue Ransomware-Gruppe Black Basta im Visier haben.
Wie das Malware Hunter Team auf Twitter mitteilte, sei auch die Deutsche Windtechnik AG auf der Leak-Seite von Black Basta aufgetaucht. Der Cyberangriff auf den Betreiber von Windenergieanlagen geschah in der Nacht vom 11. auf den 12. April.
Not seen it mentioned by anyone yet, so: Deutsche Windtechnik is also on Black Basta ransomware gang's leak site. Leak is at 100% published stage already.
— MalwareHunterTeam (@malwrhunterteam) April 26, 2022
Actually, not really got surprised to see this company on their leak site... pic.twitter.com/eH6keCpSWb
Black Basta verschlüsselt Daten
Das Sicherheitsunternehmen Cyble hat die Aktivitäten von Black Basta genauer unter die Lupe genommen. Seit April 2022 sei die Gruppe aktiv und habe mittlerweile 18 Unternehmen angegriffen, wobei die meisten davon in den USA ansässig seien. Den Analysen zufolge scheint Black Basta in erster Linien auf die Bau- und Fertigungsindustrie abzuzielen.
- Regionen, auf die Black Basta abzielt
Die meisten Opfer der Hackergruppe Black Basta sind in den USA ansässig. - Branchen, auf die Black Basta abzielt
Mit ihrer Ransomware hat es die Erpressergruppe vor allem auf die Bau- und Fertigungsindustrie abgesehen. - Statische Dateiinformationen der ausführbaren Ransomware-Datei
Die Ransomware kann nur mit Administratorrechten ausgeführt werden. - Ransomware löscht Schattendateien
Die Ransomware löscht Schattenkopien sowie die Windows-Sicherung. Das verhindert, das Nutzer ihre Systeme nach der Verschlüsselung wiederherstellen können. - Ransomware, die zwei Dateien ablegt
Die Ransomware legt zwei Bilddateien in den temporären Ordner des infizierten Systems ab. - Änderung des Desktop-Hintergrundes
Black Basta ändert den Desktop-Hintergrund ihrer Opfer mithilfe der API "SystemparametersinfoW()", um dort später die Lösegeldforderung anzuzeigen. Dafür verwendet die Ransomware die Datei "dlaksjdoiwq.jpg". - Registrierungseintrag für das Dateisymbol verschlüsselter Dateien
Eine zweite Datei namens "fkdjsadasd.ico", wird als Dateisymbol für verschlüsselte Dateien mit der Erweiterung ".basta" verwendet. Black Basta erstellt dafür einen Registry-Schlüssel. - Ransomware, die den FAX-Dienst ändert
Nach dem Erstellen des Registrierungseintrags erstellt Black Basta einen gefälschten, bösartigen Dienst mit dem Namen "FAX". - Gefälschter und echter Fax-Dienst
Links sehen Sie den gefälschten Fax-Dienst und rechts den echten. - Sicherer Boot-Vorgang, der von der Ransomware ausgeführt wird
Die Ransomware überprüft die Boot-Optionen mithilfe der "GetSystemMetrics()"-API und fügt den Eintrag "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fax" in der Registrierung hinzu, um den Fax-Dienst im abgesicherten Modus zu starten. Danach richtet die Black-Basta-Ransomware das Betriebssystem so ein, dass es mit dem Befehl "bcedit.exe" im abgesicherten Modus startet. - Ransomware findet Volume-Informationen
Nach dem Neustart beginnt der falsche Fax-Dienst mit der Verschlüsselung der Daten. Dafü nutzt sie die API "FindFirstVolumeW()". - Lösegeldforderung von Black Basta
Diese Lösegeldforderung wird den Opfern von Black Basta angezeigt. - Neustart von Ransomware im Normalmodus
Nach diesen Vorgängen startet Black Basta die Ransomware im normalen Modus neu.
Laut Cyble ist die Ransomware der Hackergruppe eine konsolenbasierte ausführbare Datei und kann nur mit Administratorrechten ausgeführt werden. Nach der Ausführung lösche das Schadprogramm Schattenkopien aus dem infizierten System mit dem Befehl "vssadmin.exe". Diese Aktion entferne die Windows-Sicherung, damit die Opfer das System nach der Verschlüsselung nicht mehr in seinen ursprünglichen Zustand zurücksetzen können. Im Anschluss wird auf dem Desktop-Hintergrund eine Lösegeldforderung angezeigt.
Black Basta als Nachfolger von Conti?
Die Verschlüsselung von Daten, um Lösegelder für diese zu erpressen, ist eine gängige Cybercrime-Praktik. Es sind die Ähnlichkeiten der Angriffstaktiken, welche die Security-Branche spekulieren lassen, ob Black Basta ein Nachfolger der Ransomware-Gruppe Conti ist.
So this Black Basta ransomware gang must have something to do with Conti:
— MalwareHunterTeam (@malwrhunterteam) April 27, 2022
- The leak site feels to much similar to Conti's.
- The payment site is some too.
- How their support people talking is also basically same.
- How they/their support people behaves also reminds me of Conti.
Ähnlich seien die Leak-Seiten sowie die Webseiten, über die Opfer die Lösegelder bezahlen sollen. Zudem sei die Art und Weise, wie Black Basta spricht und handelt, dem Stil von Conti sehr ähnlich, wie Blackberry in einem Blog schreibt.
Merkwürdig scheint dem Hersteller jedoch die Tatsache, dass Conti nach wie vor aktiv ist, was an einer Verbindung der beiden Gruppen zweifeln lässt. Blackberry berichtet von Internetbeiträgen eines Conti-Mitgliedes, welche besagen, dass trotz des Daten-Leaks der Ransomware-Gruppe neue Operationen im Gange seien.
Eine andere Theorie haben die Sicherheitsforscher von Trend Micro, die Ähnlichkeiten mit der Hackergruppe Blackt Matter feststellten. Wie Black Matter implementiere auch Black Basta eine Benutzerverifizierung auf ihrer Tor-Website. Weitere Zusammenhänge fanden die Experten zu der Malware "Qakbot".
Schutz vor der Black Basta Ransomware
Unabhängig davon, wer hinter der Ransomware steckt, sollten CISOs nun Sicherheitsmaßnahmen ergreifen. Cyble gibt online einige Tipps, wie sich Unternehmen vor Ransomware schützen können:
sichere Kennwörter verwenden und nach Möglichkeit die mehrstufige Authentifizierung erzwingen;
die automatische Softwareaktualisierung auf allen Geärten aktivieren;
Antiviren-Lösungen auf allen Geräten verwenden;
keine verdächtigen und nicht vertrauenswürdigen Links und E-Mail-Anhänge öffnen, erst ihre Authentizität prüfen;
Mitarbeiter schulen;
URLs blockieren, die die Malware verbreiten könnten, zum Beispiel Torren oder Warez;
den Beacon auf Netzwerkebene überwachen, um die Datenexfiltration durch Malware zu blockieren;
Data-Loss-Prevention-Lösungen auf allen Systemen aktivieren.
Lesetipp: Ist REvil zurück?