Angriffe verwenden benutzerdefinierte EDR-Umgehungstools, die Verbindungen zum FIN7-Bedrohungsakteur aufweisen
Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben einen Bericht veröffentlicht, der neue Analysen zur berüchtigten Black Basta Ransomware enthält. Black Basta tauchte erstmals im April 2022 auf und wurde bis September 2022 bei der Kompromittierung von über 90 Organisationen eingesetzt. Die Schnelligkeit und das Volumen der Angriffe beweisen, dass die Akteure hinter der Malware gut organisiert und gut ausgestattet sind. Dennoch gibt es keine Hinweise darauf, dass Black Basta versucht, Partner zu rekrutieren oder als RaaS (Ransomware as a Service) in den üblichen Darknet-Foren oder Crimeware-Marktplätzen zu werben. Dies hat zu vielen Spekulationen über den Ursprung, die Identität und die Arbeitsweise der Ransomware-Gruppe Black Basta geführt.
Die Recherchen der Forscher haben ergeben, dass die Personen, die hinter der Ransomware stehen, ihr eigenes Toolkit entwickeln und pflegen und entweder Partner ausschließen oder nur mit einer begrenzten und vertrauenswürdigen Gruppe von Partnern zusammenarbeiten. Es handelt sich also um eine ähnliche Herangehensweise wie bei anderen „privaten“ Ransomware-Gruppen wie zum Beispiel Conti, TA505 und Evilcorp.
Der vollständige Bericht enthält eine detaillierte Analyse der operativen TTPs (Tactics, Techniques & Procedures) von Black Basta, einschließlich der Verwendung mehrerer benutzerdefinierter Tools, die wahrscheinlich von einem oder mehreren FIN7 (alias Carbanak)-Entwicklern entwickelt wurden. Im Zuge der Angriffe verwenden die Bedrohungsakteure eine eindeutig verschleierte Version von ADFind und nutzen PrintNightmare, ZeroLogon und NoPac für eine Erweiterung der Privilegien aus.
Erste Zugriffsaktivitäten von Black Basta
Die Forscher begannen Anfang Juni 2022, die Aktivitäten von Black Basta zu verfolgen, nachdem sie Überschneidungen zwischen scheinbar unterschiedlichen Fällen festgestellt hatten. Zusammen mit anderen Forschern wurde festgestellt, dass Black Basta-Infektionen mit Qakbot begannen, das per E-Mail und makrobasierten MS Office-Dokumenten, ISO+LNK-Droppern und .docx-Dokumenten geliefert wurde, die die MSDTC-Schwachstelle CVE-2022-30190 zur Remotecodeausführung ausnutzen.
Die Verbindung mit der FIN7-Hackergruppe
Bei mehreren Black Basta-Vorfällen nutzten die Bedrohungsakteure ein benutzerdefiniertes Tool zur Beeinträchtigung der Verteidigung ihrer Opfer. Die Analyse ergab, dass dieses Tool bei Vorfällen ab dem 3. Juni 2022 verwendet wurde und ausschließlich bei Black Basta-Vorfällen zum Einsatz kam. Mit Blick auf die diversen Ähnlichkeiten in Code und Einsatzweise der Schadprogramme ist davon auszugehen, dass der Betreiber der von Black Basta verwendeten Malware derselbe ist, der den bei FIN7-Operationen verwendeten Packer-Quellcode zur Verfügung gestellt hat. Dies stellt erstmalig eine mögliche Verbindung zwischen den beiden Gruppen her.
Schlussfolgerung
Das Crimeware-Ökosystem verändert sich ständig und die Angriffstechniken und -tools werden von den professionellen Akteuren stetig weiterentwickelt. Hierbei wird FIN7 oft als Innovator im kriminellen Bereich angesehen, der mit seinen Angriffen auf Banken und PoS-Systeme neue Dimensionen erreicht hat, wobei die Komplexität, die der Mitstreiter übersteigt. Bei der Klärung der Frage, wer hinter der sehr komplexen Black Basta-Ransomware-Operation steckt, ist es keine Überraschung, dass es sich dabei mit großer Wahrscheinlichkeit um einen bereits bekannten Bedrohungsakteur handelt. Obwohl es viele neue Gesichter und unterschiedliche Bedrohungen im Bereich Ransomware gibt, erwarten viele Sicherheitsexperten, dass auch die bestehenden Cyberkriminellen in Zukunft immer anspruchsvollere Wege zur Optimierung ihrer Angriffstechniken und Maximierung ihrer Profite finden werden.
Den vollständigen Bericht finden Sie im aktuellen Blogpost von SentinelLabs: https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/
Fachartikel
Cybersecurity im Gesundheitswesen: Warum Exposure Management der Schlüssel zur Prävention ist
Mehrdeutige Techniken: Warum der Kontext über Böswilligkeit entscheidet
Die 5 größten SAP-Sicherheitsrisiken und wie Sie diese mindern können
Vom Blocker zum Enabler: Wie Cybersicherheit geschäftlichen Mehrwert schafft
Forrester Unified Vulnerability Management (UVM) – Was es bedeutet und warum es wichtig ist
Studien
Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld
Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs
Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart
IBM treibt den Einsatz generativer KI in Unternehmen mit hybrider Technologie voran
Weltweite Umfrage: Mehrheit der Technologieverantwortlichen spricht sich für Robotik im Arbeitsumfeld aus
Whitepaper
Group-IB präsentiert die zehn gefährlichsten Cybergruppen 2025
Cyberkriminelle nehmen 2025 verstärkt das Gesundheitswesen ins Visier
Cybersicherheit in KMUs: Alarmiert, aber schlecht gerüstet
Forescout warnt vor zunehmendem staatlich gefördertem Hacktivismus
Internationale KnowBe4-Umfrage: Über 90 Prozent halten Phishing-Tests für sinnvoll
Hamsterrad-Rebell
Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken
Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht
Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
Anmeldeinformationen und credential-basierte Angriffe
