Black Basta Ransomware nutzt neue Social-Engineering-Taktiken

Von Mezo in Computersicherheit

Übersetzen Sie in:

Die Black Basta Ransomware-Gruppe, die für ihre sich ständig weiterentwickelnden Strategien bekannt ist, hat seit Oktober 2024 neue Methoden zur Bereitstellung von Payloads eingeführt. Neben ihren traditionellen Ransomware-Kampagnen verbreitet sie jetzt Bedrohungen wie Zbot und DarkGate, was eine kalkulierte Änderung ihrer Herangehensweise an Kompromissziele zeigt.

Inhaltsverzeichnis

Social Engineering trifft auf E-Mail-Bombing

Black Basta setzt als ersten Schritt E-Mail-Bombardierung ein, um Ziele zu überwältigen. Bei dieser Taktik werden die E-Mails des Opfers bei zahlreichen Mailinglisten angemeldet, wodurch legitime Nachrichten effektiv in einer Flut von Spam ertränkt werden. Nach der E-Mail-Bombardierung wenden sich die Angreifer direkt an die betroffenen Benutzer und nutzen die Verwirrung zu ihrem Vorteil.

Identitätsbetrug auf bekannten Plattformen

Eine bemerkenswerte Taktik, die im August 2024 beobachtet wurde, besteht darin, dass sich Angreifer auf Plattformen wie Microsoft Teams als IT-Mitarbeiter oder Supportpersonal ausgeben. Indem sie sich als vertrauenswürdige Insider ausgeben, überzeugen sie die Opfer zu weiterer Interaktion. In einigen Fällen geben sich die Angreifer sogar als echte IT-Mitarbeiter der Zielorganisation aus, was ihre Glaubwürdigkeit verstärkt.

Nutzung von Remote-Access-Tools zur Kompromittierung

Opfer werden oft dazu verleitet, legitime Fernzugriffssoftware wie AnyDesk, TeamViewer oder Microsoft Quick Assist zu installieren. Nach der Installation verleihen diese Tools Angreifern Kontrolle über das System. Das Sicherheitsteam von Microsoft verfolgt die cyberkriminelle Gruppe, die Quick Assist ausnutzt, unter der Kennung Storm-1811.

Reverse Shells und bedrohliche QR-Codes

Zusätzlich zu den Fernzugriffstools verwenden die Angreifer den OpenSSH-Client, um Reverse Shells zu erstellen, die es ihnen ermöglichen, kompromittierte Systeme zu steuern. Eine andere Methode besteht darin, bösartige QR-Codes über Chat-Plattformen zu versenden, unter dem Vorwand, ein vertrauenswürdiges Mobilgerät hinzuzufügen. Diese QR-Codes leiten die Opfer wahrscheinlich auf schädliche Infrastrukturen um oder stehlen ihre Anmeldeinformationen.

Payload-Übermittlung: Diebstahl von Anmeldeinformationen und Folgeangriffe

Sobald der Zugriff hergestellt ist, setzen die Angreifer zusätzliche Payloads ein, beispielsweise benutzerdefinierte Credential Harvester, Zbot oder DarkGate. Mit diesen Tools können sie Anmeldeinformationen sammeln, die Umgebung des Opfers auflisten und die Bühne für weitere Angriffe bereiten. Der Diebstahl von VPN-Konfigurationsdateien in Kombination mit kompromittierten Anmeldeinformationen kann es den Angreifern außerdem ermöglichen, die Multi-Faktor-Authentifizierung zu umgehen und direkt auf das Netzwerk des Ziels zuzugreifen.

Die Ursprünge und das Arsenal von Black Basta

Black Basta entstand 2022 als eigenständige Gruppe nach der Auflösung der Conti-Ransomware-Bande. Die Gruppe stützte sich zunächst auf das QakBot-Botnetz, hat sich jedoch seitdem diversifiziert und anspruchsvolle Social-Engineering-Techniken in ihre Operationen integriert.

Ihr Malware-Arsenal umfasst:

KNOTWRAP : Ein reiner Speicher-Dropper, geschrieben in C/C++, der Payloads im Speicher ausführen kann.
KNOTROCK : Ein .NET-Dienstprogramm zum Bereitstellen der Ransomware selbst.
DAWNCRY : Ein weiterer Nur-Speicher-Dropper, der eingebettete Ressourcen mit einem fest codierten Schlüssel entschlüsselt und ausführt.
PORTYARD : Ein Tunneler, der über ein benutzerdefiniertes Binärprotokoll eine Verbindung zu Command-and-Control-Servern (C2) herstellt.
COGSCAN : Ein .NET-basiertes Aufklärungstool zur Aufzählung von Netzwerkhosts.

Ein hybrider Ansatz zur Bedrohungsübermittlung

Die Entwicklung von Black Basta unterstreicht ihren Übergang von der Abhängigkeit von Botnetzen zu einem Hybridmodell, das technische Raffinesse mit Social Engineering kombiniert. Dieser Wandel unterstreicht ihre Anpassungsfähigkeit und Entschlossenheit, Zielnetzwerke zu infiltrieren, was eine ständige Herausforderung für die Cybersicherheitsabwehr darstellt.

Wachsam bleiben gegenüber Black Basta

Um solchen Bedrohungen entgegenzuwirken, müssen Unternehmen das Bewusstsein für Cybersicherheit stärken, robuste E-Mail-Filter implementieren und ihre Mitarbeiter kontinuierlich über die Gefahren unerwünschter Nachrichten und Identitätsbetrugstaktiken aufklären. Effektive Maßnahmen sind unerlässlich, um die Risiken dieser sich ständig anpassenden Bedrohungsgruppe einzudämmen.

SpyHunter für Windows von EnigmaSoft erhält AV-TEST-Zertifizierung

Suche

Region ändern