Ransomware: BlackCat nutzt Brute Ratel als Angriffswerkzeug

Sophos News

Beitrag teilen

Sophos X-Ops stellt aktuelle Threat-Intelligence-Ergebnisse vor. Ransomware-Bande BlackCat nutzt Pentesting-Tool Brute Ratel als neues Angriffswerkzeug. Angriffsserie zeigt, wie Cyberkriminelle Computer weltweit über ungepatchte Firewalls und VPN-Dienste infizieren.

Sophos X-Ops enthüllt in dem neuen Bericht „BlackCat Ransomware Attacks Not Merely a Byproduct of Bad Luck“, dass die Ransomware-Bande ihr Arsenal an Angriffswerkzeugen um das Pentesting-Tool Brute Ratel erweitert hat. Der Artikel beschreibt eine Reihe von Ransomware-Angriffen, bei denen BlackCat ungepatchte oder veraltete Firewalls und VPN-Dienste nutzte, um weltweit in anfällige Netzwerke und Systeme in verschiedenen Branchen einzudringen.

BlackCat  mit Ransomware-as-a-Service

Die BlackCat Ransomware tauchte erstmals im November 2021 als selbsterklärter „Marktführer“ im Ransomware-as-a-Service-Bereich auf und erregte schnell Aufmerksamkeit durch seine ungewöhnliche Programmiersprache Rust. Bereits im Dezember 2021 wendeten sich die betroffenen Unternehmen an Sophos Rapid Response, um mindestens fünf Angriffe mit BlackCat untersuchen zu lassen. Bei vier dieser Vorfälle erfolgte die Erstinfektion durch die Ausnutzung von Schwachstellen in Produkten verschiedener Firewall-Anbieter. Eine dieser Schwachstellen stammt aus dem Jahr 2018, eine andere wurde im vergangenen Jahr entdeckt. Sobald die Cyberkriminellen in das Netzwerk eingedrungen waren, konnten sie sich die auf diesen Firewalls gespeicherten VPN-Zugangsdaten beschaffen. Dies ermöglichte es ihnen, sich als autorisierte Benutzer anzumelden und dann mithilfe des Remote-Desktop-Protokolls (RDP) auf Schleichfahrt durch die Systeme zu gehen.

Wie schon bei früheren BlackCat-Vorfällen nutzten die Angreifenden auch Open-Source- und kommerziell erhältliche Tools, um zusätzliche Backdoors und alternative Wege für den Fernzugriff auf die Zielsysteme zu schaffen. Dazu gehörten TeamViewer, nGrok, Cobalt Strike und Brute Ratel.

Post-Exploitation C2-Framework Brute Ratel

„Bei BlackCat und anderen Angriffen konnten wir in letzter Zeit beobachten, dass die Bedrohungsakteure sehr effizient und effektiv arbeiten. Sie nutzen bewährte Methoden wie Angriffe auf verwundbare Firewalls und VPNs. Sie waren aber auch bei der Umgehung von Sicherheitsmaßnahmen sehr innovativ und wechselten bei ihren Angriffen zum neueren Post-Exploitation C2-Framework Brute Ratel“, erläutert Christopher Budd, Senior Manager, Threat Research bei Sophos.

Angriffe ohne klares Muster

Bei den Angriffen konnte aber kein klares Muster beobachtet werden. Sie erfolgten in den USA, Europa und Asien bei großen Unternehmen, die in verschiedenen Industriesegmenten tätig sind. Die angegriffenen Unternehmen wiesen jedoch bestimmte Schwachstellen in ihrer Umgebung auf, die den Angreifern die Arbeit erleichterten. Dazu gehörten veraltete Systeme, die nicht mehr mit den neuesten Sicherheits-Patches aktualisiert werden konnten, das Fehlen einer mehrstufigen Authentifizierung für VPNs und flache Netzwerke (Netzwerk von gleichberechtigten Knoten)

„Der gemeinsame Nenner all dieser Angriffe ist, dass sie leicht durchzuführen waren”, so Budd. „In einem Fall installierten dieselben BlackCat-Angreifer Kryptominer einen Monat vor dem Start der Ransomware. Unsere jüngsten Untersuchungen machen deutlich, wie wichtig es ist, bewährte Sicherheitsverfahren zu befolgen. Sie können immer noch Angriffe verhindern und vereiteln, auch Mehrfachangriffe auf ein einzelnes Netzwerk.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Sophos X-Ops vereint Labs, SecOps und AI

Geballte Threat-Intelligenz: Sophos kündigt Sophos X-Ops an. Sophos X-Ops vereint SophosLabs, Sophos SecOps und Sophos AI  unter einem Dach. Kombination von ➡ Weiterlesen

Wenn Hive, LockBit, BlackCat nacheinander angreifen

Mehrfachangriffe von Ransomware-Gruppen machen Schule – Hive, LockBit und BlackCat Ransomware-Banden greifen nacheinander dasselbe Netzwerk an. Das zeigt das Sophos ➡ Weiterlesen

Guide zu Cyberversicherung – was wichtig ist!

Sophos hat einen neuen Guide zum Thema Cyberversicherung erstellt und gibt nützliche Tipps, auf was Unternehmen genau achten sollten. Bei ➡ Weiterlesen

Sophos: Security Switch-Serie mit 2.5G-Modellen

Sophos bietet zwei neue Security-Switche an. Die High-End-Switche der 200er-Serie mit 24 und 48 Ports erweitern das integrierte Cyber-Security-Ökosystem von ➡ Weiterlesen

86 Prozent wollen ihr IT-Sicherheitsbudget bis 2024 erhöhen

Vielen Unternehmen sind die betrieblichen Gefahren durch IT-Vorfälle bewusst. Sie planen Investitionen in Technik und Know-how und nähern sich auch ➡ Weiterlesen

Dreifach Strafe: Ransomware-Erpressung, Datenverlust, Strafgebühren

Nachlässige Unternehmen sind schnell dreifach bestraft: erst die Ransomware-Erpressung, dann der Datenverlust und zu guter Letzt die Strafgebühr für einen ➡ Weiterlesen

Finanzbetrug mit Liquidity Mining – Betrugsmasche im Krypto-Hype

Sophos erklärt in seiner Untersuchung wie Liquidity Mining - der neueste Krypto-Währungs-Investitionswahnsinn - von Cyberkriminellen als Plattform genutzt wird. „Die ➡ Weiterlesen

Threat Hunting: Fünf Schritte für die erfolgreiche Jagd

Threat Hunting und ein effektiver Notfallplan erhöhen die Security für Unternehmen und reduziert die Auswirkungen von Cyberattacken maßgeblich. Schließlich haben ➡ Weiterlesen