Dem Sicherheitsanbieter Quadrant ist es gelungen eine Black Basta-Attacke live zu verfolgen und den technischen Hintergrund auszuwerten. Damit kennen die Experten nicht die Abläufe bei Black Basta sondern haben auch noch die Schlupflöcher enttarnt, die sich nun überwachen lassen. Das ist ein schwer Schlag für die gesamt Struktur von Black Basta die sich so nun nicht mehr nutzen lässt.
Quadrant konnte kürzlich einen Kunden bei einer unternehmensweiten Kompromittierung durch die Ransomware-Gruppe Black Basta unterstützen. Diese Gruppe ist eine „Ransomware as a Service“ (RaaS)-Organisation, die bekanntermaßen auf mittlere und große Unternehmen abzielt.
Black Basta Live-Attacke ausgewertet
Das Unternehmen gibt nun einen Überblick über den Verlauf der Kompromittierung sowie eine technische Analyse der beobachteten Malware und Techniken, die von einer erfolgreichen Phishing-Kampagne bis zur versuchten Ransomware-Explosion reichen. Obwohl einige genaue Details der Handlungen des Bedrohungsakteurs noch unbekannt sind, haben die gesammelten Beweise nun Rückschlüsse auf viele der genutzten Lücken ermöglicht. Die Kundendaten wurden zwar geändert, aber Kompromittierungsindikatoren einschließlich böswilliger Domänennamen wurden nicht geändert.
Die ganze Attacke startete mit einer erkannten Phishing-E-Mail. Nach ersten Phishing-E-Mails schickte der Bedrohungsakteur weitere Phishing-E-Mails über ähnliche Kontonamen aus verschiedenen Domänen an den Client. Die E-Mails enthielten mit „Qakbot“ einen ausgeklügelten Trojaner, welcher Verbindungsversuche startete. Die Suricata-Engine hat diese Verbindungsversuche erkannt, es wurde jedoch keine Warnung von der Packet Inspection Engine ausgelöst.
Direkte Kontakte zu russischer C2-Domäne
Quadrant überwacht den ein- und ausgehenden Datenverkehr von Unternehmen mithilfe von Paketinspektions-Engine-Appliances (PIE) vor Ort, auf denen die Suricata-Erkennungs-Engine ausgeführt wird. Schließlich konnte die Malware einen aktiven C2-Server finden. Zwischen der ersten Infektion und der ersten erfolgreichen Kommunikation zwischen einem kompromittierten Host und der C2-Domäne vergingen etwa 35 Minuten.
Die Nutzdaten der zweiten Stufe, bei denen sich später herausstellte, dass es sich wahrscheinlich um das Penetrationstest-Framework „Brute Ratel“ handelte, wurden dann über eine Verbindung zu einer IP aus Russland heruntergeladen. Durch verschiedene Schritte wurden dann ein Administratorzugriff erreicht . Danach fügte der Bedrohungsakteur der Umgebung auch neue Administratorkonten hinzu. Abschließend wurden zwar ESXi-Server verschlüsselt, aber die Attacke wurde damit eingedämmt und größerer Schaden vermieden.
Die ganzen Erkenntnisse, die in Bezug auf die „Backend-Operationen“ von Black Basta während des offensiven Angriffs gewonnen wurden hat Quadrant in einer Experten-Story aufbereitet. Dabei wurden der Hintergrund mit allen technischen Daten zur Attacke von Black Basta beleuchtet und für andere Experten transparent gemacht. Somit haben auch andere Sicherheitsteams einen guten Einblick in die technische Plattform von Black Basta und können Attacken leichter erkennen und Vorsorge treffen.
Red./sel
Mehr bei Quadrantsec.com