Neue Ransomware-Gruppe ALPHV – BlackCat

Neue Ransomware-Gruppe ALPHV - BlackCat Oiltanking

Beitrag teilen

Benzinversorger Oiltanking ist prominentes Opfer der neuen Ransomware-Gruppe ALPHV – BlackCat. Varonis Threat Labs: Gezielte Rekrutierung von Partnern durch finanziell attraktive Angebote mit AusschĂĽttungen von bis zu 90 Prozent der Profite.

Die Varonis Threat Labs beobachten seit Ende 2021 verstärkte Aktivitäten der Ransomware-Gruppe ALPHV (auch bekannt als BlackCat), die als Ransomware-as-a-Service-Anbieter (RaaS) aktiv neue Partner rekrutiert, insbesondere auch (ehemalige) Mitglieder anderer Banden wie REvil, BlackMatter und DarkSide. So geht der Angriff auf den Tankstellen-Zulieferer Oiltanking, durch den unter anderem Shell betroffen war, auf BlackCat zurück. Zu den weiteren Zielen gehören größere Unternehmen aus den unterschiedlichsten Branchen wie Unternehmensdienstleistungen, Bauwesen, Energie, Mode, Finanzen, Logistik, Fertigung, Pharmazie, Einzelhandel und Technologie. Die Opfer stammen insbesondere aus Australien, Frankreich, Deutschland, Italien, Niederlande, Spanien, Großbritannien und den USA. Die Forderungen reichen dabei von 400.000 bis zu 3 Millionen US-Dollar.

Anzeige

BlackCat fordert Lösegelder in Millionenhöhe

ALPHV wurde erstmals im November 2021 beobachtet und bietet Ransomware als Dienstleistung an. Dabei wird die übliche Taktik der Double Extortion, bei der sensible Daten vor der Verschlüsselung entwendet und den Opfern mit einer Veröffentlichung gedroht wird, durch eine weitere Eskalationsstufe erweitert (Triple Extortion): Dabei drohen die Cyberkriminellen zudem auch einen DDoS (Distributed Denial of Service)-Angriff an. Dies deutet auf eine gewisse Erfahrung in dem Gebiet hin, weshalb es sich bei ALPHV wohl eher um eine Neugruppierung bekannter Angreifer als um Neulinge in diesem „Geschäftsfeld“ handelt. Darauf weisen auch Beiträge in Cybercrime-Foren hin, in denen davon ausgegangen wird, dass ALPHV möglicherweise eine Weiterentwicklung oder ein Rebranding von BlackMatter ist, welches seinerseits ein „Spin-off“ oder Nachfolger von REvil und DarkSide ist. Bemerkenswert ist zudem die sehr hohe Auszahlungsrate für die Affiliates von bis zu 90 Prozent des eingenommenen Lösegelds, mit der sehr aktiv neue Partner in einschlägigen Communities rekrutiert und gefunden werden.

Affiliate-Partner sollen bis zu 90 Prozent Lösegeld bekommen

In russisch-sprachigen Cybercrime-Foren wird gezielt nach Partnern gesucht (Bild: Varonis).

Bei der Arbeit mit diesen neuen Partnern erfolgt das erste Eindringen in das Opfernetzwerk in der Regel mit bewährten Techniken, wie beispielsweise der Ausnutzung allgemeiner Schwachstellen in Netzwerkinfrastrukturgeräten wie VPN-Gateways und der Missbrauch von Anmeldeinformationen über ungeschützte RDP-Hosts (Remote Desktop Protocol). Daran anschließend verwenden ALPHV-Angreifer häufig PowerShell, um die Sicherheitseinstellungen von Windows Defender im gesamten Netzwerk des Opfers zu ändern und die Ransomware mithilfe von PsExec auf mehreren Hosts zu starten.

Sobald der Zugang auf die Opfersysteme erfolgt ist, wie bei Oiltanking, startet die Aufklärungsphase, bei der sensible und wertvolle Daten zur Exfiltration und späteren Verschlüsselung identifiziert werden, sowie eine laterale Bewegung im Netzwerk. Die Ransomware wird dabei für jedes Opfer neu erstellt und umfasst beispielsweise die Art der Verschlüsselung (etwa, dass nur Teile großer Dateien verschlüsselt werden) sowie eingebettete Anmeldeinformationen des Opfers, um die automatische Verbreitung der Ransomware auf andere Server zu ermöglichen.

ALPHV – BlackCat funktioniert unter Windows und Linux

Im Gegensatz zu vielen anderen Ransomware-Programmen wurde ALPHV in Rust entwickelt. Diese Programmiersprache zeichnet sich durch eine hohe Performance und plattformĂĽbergreifende Funktionen aus. Entsprechend wurden bereits sowohl Linux- als auch Windows-Varianten identifiziert.

Weitere Informationen zu ALPHV (BlackCat / Oiltanking) wie detaillierte Angaben zu Konfigurationen, Abläufen sowie Indikatoren einer Kompromittierung finden sich im entsprechenden Blog-Beitrag von Varonis.

Mehr bei Varonis.com

 


Ăśber Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Cyberangriffe: Diese Schwachstellen sind Hauptziele

Durch die Analyse von vielen, weltweiten Cybervorfällen war es möglich die drei größten Schwachstellen zu identifizieren: Dazu gehören ineffizientes Schwachstellenmanagement, ➡ Weiterlesen

KI-Dienste: Ăśberwachen und Schwachstellen erkennen

65 Prozent der Unternehmen nutzen generative KI in einer oder mehreren Funktionen. KI-Dienste bieten viele Vorteile, aber gleichzeitig auch viele ➡ Weiterlesen

Handlungsbedarf in Sachen DORA

Warum Finanzinstitute hinsichtlich DORA jetzt handeln müssen, um die operative Widerstandsfähigkeit zu sichern. Mit dem endgültigen Inkrafttreten des Digital Operational ➡ Weiterlesen

E-Mail-Sicherheit: 5 Tipps zur Anpassung an NIS2

E-Mail-Sicherheit nimmt eine zentrale Rolle für die Cybersicherheit des ganzen Unternehmens ein. Denn E-Mail ist nicht nur der wichtigste Kommunikationskanal ➡ Weiterlesen

Nur Hype oder Realität: Vorhersagen Cybersicherheit 2025 

Vorhersagen zur Cybersicherheit gibt es jährlich zuhauf, viele davon sind voller Übertreibungen. Sinnvoller ist es, den Blick auf Daten und ➡ Weiterlesen

Angriffe 2024: Anmeldedaten waren häufigstes Ziel

Ein Report hat Cyberattacken in 2024 analysiert und dabei festgestellt: Die meisten Angreifer brechen nicht ein, sondern loggen sich mit ➡ Weiterlesen

Wiederherstellung nach Cyberangriffen beschleunigen

Viele IT- und Sicherheitsverantwortliche machen sich Sorgen, ob ihr Unternehmen nach einem Cyberangriff noch geschäftsfähig ist, bzw. wie schnell es ➡ Weiterlesen

Microsoft Teams: E-Mail-Bombing und Voice Phishing

Cyberkriminelle missbrauchen Microsoft Teams als Einfallstor für ihre Angriffe. Sie versuchen dann Daten abzuziehen oder Ransomware zu platzieren. Mit im ➡ Weiterlesen