Ertappt: Black Basta-Struktur durchleuchtet

Ertappt: Black Basta-Struktur durchleuchtet

Beitrag teilen

Dem Sicherheitsanbieter Quadrant ist es gelungen eine Black Basta-Attacke live zu verfolgen und den technischen Hintergrund auszuwerten. Damit kennen die Experten nicht die Abläufe bei Black Basta sondern haben auch noch die Schlupflöcher enttarnt, die sich nun überwachen lassen. Das ist ein schwer Schlag für die gesamt Struktur von Black Basta die sich so nun nicht mehr nutzen lässt.

Quadrant konnte kürzlich einen Kunden bei einer unternehmensweiten Kompromittierung durch die Ransomware-Gruppe Black Basta unterstützen. Diese Gruppe ist eine „Ransomware as a Service“ (RaaS)-Organisation, die bekanntermaßen auf mittlere und große Unternehmen abzielt.

Anzeige

Black Basta Live-Attacke ausgewertet

Das Unternehmen gibt nun einen Überblick über den Verlauf der Kompromittierung sowie eine technische Analyse der beobachteten Malware und Techniken, die von einer erfolgreichen Phishing-Kampagne bis zur versuchten Ransomware-Explosion reichen. Obwohl einige genaue Details der Handlungen des Bedrohungsakteurs noch unbekannt sind, haben die gesammelten Beweise nun Rückschlüsse auf viele der genutzten Lücken ermöglicht. Die Kundendaten wurden zwar geändert, aber Kompromittierungsindikatoren einschließlich böswilliger Domänennamen wurden nicht geändert.

Die ganze Attacke startete mit einer erkannten Phishing-E-Mail. Nach ersten Phishing-E-Mails schickte der Bedrohungsakteur weitere Phishing-E-Mails über ähnliche Kontonamen aus verschiedenen Domänen an den Client. Die E-Mails enthielten mit „Qakbot“ einen ausgeklügelten Trojaner, welcher Verbindungsversuche startete. Die Suricata-Engine hat diese Verbindungsversuche erkannt, es wurde jedoch keine Warnung von der Packet Inspection Engine ausgelöst.

Direkte Kontakte zu russischer C2-Domäne

Quadrant überwacht den ein- und ausgehenden Datenverkehr von Unternehmen mithilfe von Paketinspektions-Engine-Appliances (PIE) vor Ort, auf denen die Suricata-Erkennungs-Engine ausgeführt wird. Schließlich konnte die Malware einen aktiven C2-Server finden. Zwischen der ersten Infektion und der ersten erfolgreichen Kommunikation zwischen einem kompromittierten Host und der C2-Domäne vergingen etwa 35 Minuten.

Die Nutzdaten der zweiten Stufe, bei denen sich später herausstellte, dass es sich wahrscheinlich um das Penetrationstest-Framework „Brute Ratel“ handelte, wurden dann über eine Verbindung zu einer IP aus Russland heruntergeladen. Durch verschiedene Schritte wurden dann ein Administratorzugriff erreicht . Danach fügte der Bedrohungsakteur der Umgebung auch neue Administratorkonten hinzu. Abschließend wurden zwar ESXi-Server verschlüsselt, aber die Attacke wurde damit eingedämmt und größerer Schaden vermieden.

Die ganzen Erkenntnisse, die in Bezug auf die „Backend-Operationen“ von Black Basta während des offensiven Angriffs gewonnen wurden hat Quadrant in einer Experten-Story aufbereitet. Dabei wurden der Hintergrund mit allen technischen Daten zur Attacke von Black Basta beleuchtet und für andere Experten transparent gemacht. Somit haben auch andere Sicherheitsteams einen guten Einblick in die technische Plattform von Black Basta und können Attacken leichter erkennen und Vorsorge treffen.

Red./sel

Mehr bei Quadrantsec.com

 

Passende Artikel zum Thema

Weltgrößter white-hacking Wettbewerb im Automobilbereich

Im Tokyo Big Sight Veranstaltungszentrum findet vom 22. bis 24. Januar 2025 der weltweit größte white-hacking Wettbewerb „Pwn2Own Automotive 2025“ ➡ Weiterlesen

Verschlüsselte Angriffe nehmen zu

Ein Anbieter von Cloud-Sicherheit veröffentlicht mit dem ThreatLabz 2024 Encrypted Attacks Report eine Analyse der neuesten Bedrohungen. Verschlüsselter Datenverkehr entwickelte ➡ Weiterlesen

Bedrohungen bewerten und aktiv abwehren

Mit dem Risk Management Dashboard von Keeper Security haben Administratoren die Sicherheit des Unternehmens im Blick. Dynamische Benchmarks unterstützen sie ➡ Weiterlesen

KI-Einsatz: Schutz und Gefahr für die Datensicherheit 2025

In diesem Jahr sollten Unternehmen der Datensicherheit in der Cloud angesichts des zunehmenden KI-Einsatzes höchste Priorität einzuräumen. Die Entwicklung und ➡ Weiterlesen

Phishing-resistente Authentifizierung für Microsoft

Ein führender Anbieter von Sicherheitsschlüsseln für die Hardware-Authentifizierung hat eine neue phishing-resistente Lösung für Microsoft-Ökosysteme vorgestellt. Sie kommt ohne Passwörter ➡ Weiterlesen

KI zum Schutz kritischer IT-Infrastrukturen

Ein Anbieter von Lösungen für Performance Management, Cybersicherheit und Schutz vor DDoS-Angriffen, kündigt Updates für seine branchenführenden Produkte Arbor Edge ➡ Weiterlesen

KI-Aufbau: Neuer API-Service für Amazon Bedrock

Annapurna, der neue Application Programming Interface (API)-Service von Rubrik lässt sich direkt in Amazon Bedrock integrieren und richtet sich an ➡ Weiterlesen

Cloud SIEM für Echtzeit-Bedrohungserkennung 

Modernes Cloud SIEM soll für Echtzeit-Bedrohungserkennung und ein effizientes Monitoring sorgen. Das Cloud SIEM von Datadog setzt auf moderne Architekturen und ➡ Weiterlesen