Ertappt: Black Basta-Struktur durchleuchtet

Ertappt: Black Basta-Struktur durchleuchtet

Beitrag teilen

Dem Sicherheitsanbieter Quadrant ist es gelungen eine Black Basta-Attacke live zu verfolgen und den technischen Hintergrund auszuwerten. Damit kennen die Experten nicht die Abläufe bei Black Basta sondern haben auch noch die Schlupflöcher enttarnt, die sich nun überwachen lassen. Das ist ein schwer Schlag für die gesamt Struktur von Black Basta die sich so nun nicht mehr nutzen lässt.

Quadrant konnte kürzlich einen Kunden bei einer unternehmensweiten Kompromittierung durch die Ransomware-Gruppe Black Basta unterstützen. Diese Gruppe ist eine „Ransomware as a Service“ (RaaS)-Organisation, die bekanntermaßen auf mittlere und große Unternehmen abzielt.

Anzeige

Black Basta Live-Attacke ausgewertet

Das Unternehmen gibt nun einen Überblick über den Verlauf der Kompromittierung sowie eine technische Analyse der beobachteten Malware und Techniken, die von einer erfolgreichen Phishing-Kampagne bis zur versuchten Ransomware-Explosion reichen. Obwohl einige genaue Details der Handlungen des Bedrohungsakteurs noch unbekannt sind, haben die gesammelten Beweise nun Rückschlüsse auf viele der genutzten Lücken ermöglicht. Die Kundendaten wurden zwar geändert, aber Kompromittierungsindikatoren einschließlich böswilliger Domänennamen wurden nicht geändert.

Die ganze Attacke startete mit einer erkannten Phishing-E-Mail. Nach ersten Phishing-E-Mails schickte der Bedrohungsakteur weitere Phishing-E-Mails über ähnliche Kontonamen aus verschiedenen Domänen an den Client. Die E-Mails enthielten mit „Qakbot“ einen ausgeklügelten Trojaner, welcher Verbindungsversuche startete. Die Suricata-Engine hat diese Verbindungsversuche erkannt, es wurde jedoch keine Warnung von der Packet Inspection Engine ausgelöst.

Direkte Kontakte zu russischer C2-Domäne

Quadrant überwacht den ein- und ausgehenden Datenverkehr von Unternehmen mithilfe von Paketinspektions-Engine-Appliances (PIE) vor Ort, auf denen die Suricata-Erkennungs-Engine ausgeführt wird. Schließlich konnte die Malware einen aktiven C2-Server finden. Zwischen der ersten Infektion und der ersten erfolgreichen Kommunikation zwischen einem kompromittierten Host und der C2-Domäne vergingen etwa 35 Minuten.

Die Nutzdaten der zweiten Stufe, bei denen sich später herausstellte, dass es sich wahrscheinlich um das Penetrationstest-Framework „Brute Ratel“ handelte, wurden dann über eine Verbindung zu einer IP aus Russland heruntergeladen. Durch verschiedene Schritte wurden dann ein Administratorzugriff erreicht . Danach fügte der Bedrohungsakteur der Umgebung auch neue Administratorkonten hinzu. Abschließend wurden zwar ESXi-Server verschlüsselt, aber die Attacke wurde damit eingedämmt und größerer Schaden vermieden.

Die ganzen Erkenntnisse, die in Bezug auf die „Backend-Operationen“ von Black Basta während des offensiven Angriffs gewonnen wurden hat Quadrant in einer Experten-Story aufbereitet. Dabei wurden der Hintergrund mit allen technischen Daten zur Attacke von Black Basta beleuchtet und für andere Experten transparent gemacht. Somit haben auch andere Sicherheitsteams einen guten Einblick in die technische Plattform von Black Basta und können Attacken leichter erkennen und Vorsorge treffen.

Red./sel

Mehr bei Quadrantsec.com

 

Passende Artikel zum Thema

Zunahme von Fog- und Akira-Ransomware

Im September gab SonicWall bekannt, dass CVE-2024-40766 aktiv ausgenutzt wird. Zwar hat Arctic Wolf keine eindeutigen Beweise dafür, dass diese ➡ Weiterlesen

Chefs meinen IT-Security sei ganz „easy“

Jeder vierte Verantwortliche für IT-Security in Unternehmen muss sich den Vorwurf von Vorgesetzten anhören, Cybersicherheit sei doch ganz einfach. Externe ➡ Weiterlesen

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen