Gesponsert
Share
Beitragsbild zu SentinelOne veröffentlicht ausführliche Analyse der neuen Black Basta Ransomware

SentinelOne veröffentlicht ausführliche Analyse der neuen Black Basta Ransomware

Angriffe verwenden benutzerdefinierte EDR-Umgehungstools, die Verbindungen zum FIN7-Bedrohungsakteur aufweisen

Die Sicherheitsforscher von SentinelLabs, der Forschungsabteilung von SentinelOne, haben einen Bericht veröffentlicht, der neue Analysen zur berüchtigten Black Basta Ransomware enthält. Black Basta tauchte erstmals im April 2022 auf und wurde bis September 2022 bei der Kompromittierung von über 90 Organisationen eingesetzt. Die Schnelligkeit und das Volumen der Angriffe beweisen, dass die Akteure hinter der Malware gut organisiert und gut ausgestattet sind. Dennoch gibt es keine Hinweise darauf, dass Black Basta versucht, Partner zu rekrutieren oder als RaaS (Ransomware as a Service) in den üblichen Darknet-Foren oder Crimeware-Marktplätzen zu werben. Dies hat zu vielen Spekulationen über den Ursprung, die Identität und die Arbeitsweise der Ransomware-Gruppe Black Basta geführt.

Die Recherchen der Forscher haben ergeben, dass die Personen, die hinter der Ransomware stehen, ihr eigenes Toolkit entwickeln und pflegen und entweder Partner ausschließen oder nur mit einer begrenzten und vertrauenswürdigen Gruppe von Partnern zusammenarbeiten. Es handelt sich also um eine ähnliche Herangehensweise wie bei anderen „privaten“ Ransomware-Gruppen wie zum Beispiel Conti, TA505 und Evilcorp.

Der vollständige Bericht enthält eine detaillierte Analyse der operativen TTPs (Tactics, Techniques & Procedures) von Black Basta, einschließlich der Verwendung mehrerer benutzerdefinierter Tools, die wahrscheinlich von einem oder mehreren FIN7 (alias Carbanak)-Entwicklern entwickelt wurden. Im Zuge der Angriffe verwenden die Bedrohungsakteure eine eindeutig verschleierte Version von ADFind und nutzen PrintNightmare, ZeroLogon und NoPac für eine Erweiterung der Privilegien aus.

Erste Zugriffsaktivitäten von Black Basta

Die Forscher begannen Anfang Juni 2022, die Aktivitäten von Black Basta zu verfolgen, nachdem sie Überschneidungen zwischen scheinbar unterschiedlichen Fällen festgestellt hatten. Zusammen mit anderen Forschern wurde festgestellt, dass Black Basta-Infektionen mit Qakbot begannen, das per E-Mail und makrobasierten MS Office-Dokumenten, ISO+LNK-Droppern und .docx-Dokumenten geliefert wurde, die die MSDTC-Schwachstelle CVE-2022-30190 zur Remotecodeausführung ausnutzen.

Die Verbindung mit der FIN7-Hackergruppe

Bei mehreren Black Basta-Vorfällen nutzten die Bedrohungsakteure ein benutzerdefiniertes Tool zur Beeinträchtigung der Verteidigung ihrer Opfer. Die Analyse ergab, dass dieses Tool bei Vorfällen ab dem 3. Juni 2022 verwendet wurde und ausschließlich bei Black Basta-Vorfällen zum Einsatz kam. Mit Blick auf die diversen Ähnlichkeiten in Code und Einsatzweise der Schadprogramme ist davon auszugehen, dass der Betreiber der von Black Basta verwendeten Malware derselbe ist, der den bei FIN7-Operationen verwendeten Packer-Quellcode zur Verfügung gestellt hat. Dies stellt erstmalig eine mögliche Verbindung zwischen den beiden Gruppen her.

Schlussfolgerung

Das Crimeware-Ökosystem verändert sich ständig und die Angriffstechniken und -tools werden von den professionellen Akteuren stetig weiterentwickelt. Hierbei wird FIN7 oft als Innovator im kriminellen Bereich angesehen, der mit seinen Angriffen auf Banken und PoS-Systeme neue Dimensionen erreicht hat, wobei die Komplexität, die der Mitstreiter übersteigt. Bei der Klärung der Frage, wer hinter der sehr komplexen Black Basta-Ransomware-Operation steckt, ist es keine Überraschung, dass es sich dabei mit großer Wahrscheinlichkeit um einen bereits bekannten Bedrohungsakteur handelt. Obwohl es viele neue Gesichter und unterschiedliche Bedrohungen im Bereich Ransomware gibt, erwarten viele Sicherheitsexperten, dass auch die bestehenden Cyberkriminellen in Zukunft immer anspruchsvollere Wege zur Optimierung ihrer Angriffstechniken und Maximierung ihrer Profite finden werden.

Den vollständigen Bericht finden Sie im aktuellen Blogpost von SentinelLabs: https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/

 

Firma zum Thema

SentinelOne

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Schrems III ist im Anmarsch. Sind Sie darauf vorbereitet?”

Schrems III ist im Anmarsch. Sind Sie darauf vorbereitet?

Featured image for “Die Vorteile von Datenverschlüsselung”

Die Vorteile von Datenverschlüsselung

Featured image for “Vertrauen Sie KI? – Digital Trust als Schlüssel zur erfolgreichen (digitalen) Transformation”

Vertrauen Sie KI? – Digital Trust als Schlüssel zur erfolgreichen (digitalen) Transformation

Featured image for “Zeit ist Geld: Effizienter Schutz für resilientere ERP-Systeme”

Zeit ist Geld: Effizienter Schutz für resilientere ERP-Systeme

Featured image for “Pentesting: Von den Besten lernen”

Pentesting: Von den Besten lernen

Studien

Featured image for “Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf”

Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf

Featured image for “GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind”

GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind

Featured image for “Studie: Sicherheitsbedenken bremsen Tech-Innovation aus”

Studie: Sicherheitsbedenken bremsen Tech-Innovation aus

Featured image for “Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit”

Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit

Featured image for “Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos”

Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos

Whitepaper

Featured image for “Leitfaden zur Sicherheit von Operational Technology (OT)”

Leitfaden zur Sicherheit von Operational Technology (OT)

Featured image for “Deutsche Führungskräfte werden sich den Cyberrisiken bewusster – klicken aber häufiger auf schadhafte Links als ihre Angestellten”

Deutsche Führungskräfte werden sich den Cyberrisiken bewusster – klicken aber häufiger auf schadhafte Links als ihre Angestellten

Featured image for “Deutsche Wirtschaft setzt auch auf Open Source”

Deutsche Wirtschaft setzt auch auf Open Source

Featured image for “Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen”

Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen

Featured image for “IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren”

IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren

Unter4Ohren

Featured image for “Pentesting: Von den Besten lernen”

Pentesting: Von den Besten lernen

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 4”

(Tickende) Zeitbombe NIS2 – Kapitel 4

Featured image for “(Tickende) Zeitbombe NIS2 – Kapitel 3”

(Tickende) Zeitbombe NIS2 – Kapitel 3

Featured image for “Ein konkreter Weg zur Cyber Resilience mit Red Sift”

Ein konkreter Weg zur Cyber Resilience mit Red Sift

Featured image for “qSkills Security Summit 2023: Gipfeltreffen für IT-Experten und Führungskräfte”

qSkills Security Summit 2023: Gipfeltreffen für IT-Experten und Führungskräfte