Ertappt: Black Basta-Struktur durchleuchtet

Ertappt: Black Basta-Struktur durchleuchtet

Beitrag teilen

Dem Sicherheitsanbieter Quadrant ist es gelungen eine Black Basta-Attacke live zu verfolgen und den technischen Hintergrund auszuwerten. Damit kennen die Experten nicht die Abläufe bei Black Basta sondern haben auch noch die Schlupflöcher enttarnt, die sich nun überwachen lassen. Das ist ein schwer Schlag für die gesamt Struktur von Black Basta die sich so nun nicht mehr nutzen lässt.

Quadrant konnte kürzlich einen Kunden bei einer unternehmensweiten Kompromittierung durch die Ransomware-Gruppe Black Basta unterstützen. Diese Gruppe ist eine „Ransomware as a Service“ (RaaS)-Organisation, die bekanntermaßen auf mittlere und große Unternehmen abzielt.

Black Basta Live-Attacke ausgewertet

Das Unternehmen gibt nun einen Überblick über den Verlauf der Kompromittierung sowie eine technische Analyse der beobachteten Malware und Techniken, die von einer erfolgreichen Phishing-Kampagne bis zur versuchten Ransomware-Explosion reichen. Obwohl einige genaue Details der Handlungen des Bedrohungsakteurs noch unbekannt sind, haben die gesammelten Beweise nun Rückschlüsse auf viele der genutzten Lücken ermöglicht. Die Kundendaten wurden zwar geändert, aber Kompromittierungsindikatoren einschließlich böswilliger Domänennamen wurden nicht geändert.

Die ganze Attacke startete mit einer erkannten Phishing-E-Mail. Nach ersten Phishing-E-Mails schickte der Bedrohungsakteur weitere Phishing-E-Mails über ähnliche Kontonamen aus verschiedenen Domänen an den Client. Die E-Mails enthielten mit „Qakbot“ einen ausgeklügelten Trojaner, welcher Verbindungsversuche startete. Die Suricata-Engine hat diese Verbindungsversuche erkannt, es wurde jedoch keine Warnung von der Packet Inspection Engine ausgelöst.

Direkte Kontakte zu russischer C2-Domäne

Quadrant überwacht den ein- und ausgehenden Datenverkehr von Unternehmen mithilfe von Paketinspektions-Engine-Appliances (PIE) vor Ort, auf denen die Suricata-Erkennungs-Engine ausgeführt wird. Schließlich konnte die Malware einen aktiven C2-Server finden. Zwischen der ersten Infektion und der ersten erfolgreichen Kommunikation zwischen einem kompromittierten Host und der C2-Domäne vergingen etwa 35 Minuten.

Die Nutzdaten der zweiten Stufe, bei denen sich später herausstellte, dass es sich wahrscheinlich um das Penetrationstest-Framework „Brute Ratel“ handelte, wurden dann über eine Verbindung zu einer IP aus Russland heruntergeladen. Durch verschiedene Schritte wurden dann ein Administratorzugriff erreicht . Danach fügte der Bedrohungsakteur der Umgebung auch neue Administratorkonten hinzu. Abschließend wurden zwar ESXi-Server verschlüsselt, aber die Attacke wurde damit eingedämmt und größerer Schaden vermieden.

Die ganzen Erkenntnisse, die in Bezug auf die „Backend-Operationen“ von Black Basta während des offensiven Angriffs gewonnen wurden hat Quadrant in einer Experten-Story aufbereitet. Dabei wurden der Hintergrund mit allen technischen Daten zur Attacke von Black Basta beleuchtet und für andere Experten transparent gemacht. Somit haben auch andere Sicherheitsteams einen guten Einblick in die technische Plattform von Black Basta und können Attacken leichter erkennen und Vorsorge treffen.

Red./sel

Mehr bei Quadrantsec.com

 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen

BKA Cybercrime Report 2022: Schäden von 200 Mrd. Euro 

Das vor kurzem veröffentlichte Bundeslagebild Cybercrime 2022 des BKA zeigt wieder teils erschütternde Fakten. Zwar waren die registrierten Fälle rückläufig, ➡ Weiterlesen