Was ist Black Basta Ransomware?

Preisgekröntes ThreatDown MDR stoppt Bedrohungen, die andere übersehen

MDR erkunden

Einführung

Black Basta soll Verbindungen zu etablierten Cyberkriminellen-Gruppen wie FIN7 und Überresten der Conti-Ransomware-Bande haben. Diese Verbindungen lassen auf eine lange Tradition fortgeschrittener Cyberkriminellen-Expertise schließen. Die Gruppe entstand in einer Zeit des Umbruchs imRansomware-Ökosystemund füllte Lücken, die andere aufgelöste oder umstrukturierte Gruppen hinterlassen hatten.

Black-Basta-Einsatzmodell und -Techniken

Wie viele moderne Ransomware-Banden arbeitet Black Basta nach dem RaaS-Modell, bei dem Partner die Ransomware im Austausch für einen Anteil an den Lösegeldzahlungen bereitstellen. Dieser Ansatz ermöglicht es dem Kernteam, seine Operationen zu skalieren, indem es weltweit Partner rekrutiert.

Erster Zugang und Nutzung

Die Gruppe stützt sich stark auf Phishing-Kampagnen und die Ausnutzung bekannter Software-Schwachstellen, z. B. Schwachstellen in Fernzugriffstools wie ConnectWise ScreenConnect und Schwachstellen wie ZeroLogon und PrintNightmare. Diese Schwachstellen ermöglichen es den Angreifern, in die Zielnetzwerke einzudringen.

Werkzeuge und Taktiken

Black Basta verwendet eine Reihe von Tools für die Infiltration von Netzwerken, laterale Bewegungen und Datenexfiltration. Dazu gehören:

  • PsExec und SoftPerfect für laterale Bewegungen.
  • Mimikatz zum Sammeln von Anmeldedaten.
  • RClone für die Datenexfiltration.
  • PowerShell-Skripte zum Deaktivieren endpoint protection.

Sobald der Zugang hergestellt ist, verschlüsselt Black Basta die Systeme der Opfer und löscht die Schattenkopien, um eine Wiederherstellung zu verhindern. Sie wenden eine doppelte Erpressungstaktik an und drohen damit, die gestohlenen Daten freizugeben, wenn das Lösegeld nicht gezahlt wird.

Schlüsselereignisse von Black Basta

  • Angriffe auf das Gesundheitswesen: Organisationen im Gesundheitswesen sind aufgrund ihrer Abhängigkeit von einem unterbrechungsfreien Betrieb besonders anfällig. Black Basta hat Krankenhäuser ins Visier genommen und Störungen verursacht, die die Patientenversorgung gefährdet haben.
  • Kritische Infrastruktur: Angriffe auf Versorgungsunternehmen und Produktionsbetriebe zeigen, dass die Gruppe in der Lage und bereit ist, Sektoren mit erheblichen gesellschaftlichen Auswirkungen ins Visier zu nehmen.
  • Aufsehenerregende Exploits: In mehreren Fällen nutzte Black Basta neu bekannt gewordene Schwachstellen innerhalb weniger Tage nach ihrer Bekanntgabe aus und stellte damit seine technische Anpassungsfähigkeit unter Beweis.

Abwehrmaßnahmen und Abhilfemaßnahmen für Black Basta

Behörden wieCISA, das FBI und das Ministerium für Gesundheit und Soziales (HHS) haben Empfehlungen mit detaillierten Strategien zur Risikominderung herausgegeben. Zu den empfohlenen Maßnahmen gehören:

  • Regelmäßiges patch management , um bekannte Sicherheitslücken zu schließen.
  • Netzsegmentierung zur Begrenzung der seitlichen Bewegung.
  • Robuste Backup-Strategien, die eine Wiederherstellung ohne Zahlung von Lösegeld gewährleisten.
  • Mitarbeiterschulung zur Verringerung der Anfälligkeit für Phishing-Angriffe.

Unternehmen wird außerdem empfohlen,endpoint detection and response EDR)-Lösungen zu implementieren, obwohl bekannt ist, dass Black Basta solche Abwehrmaßnahmen deaktiviert.

Black Basta's aufkommende Trends und Zukunftssorgen

Die Ransomware-Landschaft entwickelt sich weiter, wobei Gruppen wie Black Basta ihre Taktiken kontinuierlich anpassen. Der Einsatz fortschrittlicher Techniken wie die Ausnutzungvon Zero-Day-Schwachstellenund die Nutzung von Insider-Bedrohungen wird wahrscheinlich zunehmen. Darüber hinaus geben die Verbindungen der Gruppe zu anderen Cyberkriminalitätsorganisationen Anlass zur Sorge hinsichtlich der Zusammenarbeit und des Wissensaustauschs innerhalb des Ransomware-Ökosystems.

Schlussfolgerung

Black Basta stellt eine bedeutende und sich weiterentwickelnde Bedrohung innerhalb der Cybersicherheitslandschaft dar. Seine ausgeklügelten Operationen, wirkungsvollen Taktiken und seine globale Reichweite unterstreichen die Bedeutung proaktiver Maßnahmen und internationaler Zusammenarbeit bei der Bekämpfung von Ransomware. Da die Gruppe ihre Methoden ständig weiterentwickelt, müssen Unternehmen wachsam bleiben und umfassende Cybersicherheits-Frameworks einsetzen, um Risiken wirksam zu mindern.

Weitere Informationen zu den Methoden von Black Basta und empfohlenen Abwehrmaßnahmen finden Sie in den Ressourcen der CISAund anderer Cybersicherheitsbehörden.

Ausgewählte Ressourcen

Häufig gestellte Fragen (FAQ) zu Black Basta Ransomware

Was ist Black Basta ransomware, und wie funktioniert sie?

Black Basta ist eine Ransomware-Gruppe, die 2022 entstanden ist und nach einem Ransomware-as-a-Service-Modell (RaaS) arbeitet. Partner führen Angriffe durch und erhalten einen Anteil an den Lösegeldzahlungen. Die Gruppe nutzt Phishing, nutzt Schwachstellen aus und setzt Tools wie PsExec und Mimikatz ein, um in Netzwerke einzudringen und Daten zu exfiltrieren. Sie verfolgen eine Strategie der doppelten Erpressung, indem sie Daten verschlüsseln und mit der Veröffentlichung gestohlener Informationen drohen.

Welche Branchen sind am stärksten von Black-Basta-Angriffen betroffen?

Black Basta zielt auf eine Vielzahl von Sektoren ab, darunter das Gesundheitswesen, die Fertigungsindustrie und kritische Infrastrukturen. Das Gesundheitswesen ist aufgrund seiner Abhängigkeit von einem kontinuierlichen Betrieb besonders betroffen, da Störungen lebensbedrohlich sein können.

Welche Maßnahmen können Unternehmen zur Abwehr von Black Basta ergreifen?

Zu den empfohlenen Schutzmaßnahmen gehören regelmäßige Software-Updates und -Patches, die Implementierung robuster Endpunkt-Erkennungssysteme, die Erstellung sicherer Backups und die Schulung von Mitarbeitern zur Erkennung von Phishing-Versuchen. Auch die Segmentierung von Netzwerken und die Verwendung einer mehrstufigen Authentifizierung können Schwachstellen verringern.