SuperBlack Ransomware

Cyberbedrohungen entwickeln sich rasant, und Ransomware bleibt eine der verheerendsten Angriffsformen. Schon eine einzige Infektion kann zu finanziellen Verlusten, Betriebsausfällen und der Offenlegung sensibler Daten führen. Die SuperBlack Ransomware ist eine neue und hochentwickelte Variante, die vermutlich auf LockBit 3.0 basiert. Sie verschlüsselt die Dateien der Opfer, fordert Lösegeld und droht mit der Weitergabe missbrauchter Daten. Um solche Angriffe zu verhindern und abzuschwächen, ist es entscheidend, die Methoden der Ransomware zu verstehen und wirksame Cybersicherheitsmaßnahmen zu ergreifen.

Die SuperBlack-Ransomware: So funktioniert sie

SuperBlack verschlüsselt Dateien und macht sie für Opfer unzugänglich. Im Gegensatz zu herkömmlichen Ransomware-Varianten mit festen Erweiterungen fügt SuperBlack Dateinamen eine zufällige Zeichenfolge hinzu. Beispiel:

• 1.png → 1.png.fB1SZ2i3X

Sobald der Verschlüsselungsprozess abgeschlossen ist, nimmt SuperBlack weitere Änderungen vor:

• Das Desktop-Hintergrundbild wird in eine Lösegeldwarnung geändert.
• Es wird eine Lösegeldforderung mit einem zufälligen Dateinamen nach dem Muster „[random_string].README.txt“ hinterlassen.

Datendiebstahl und Erpressung

Bei SuperBlack geht es nicht nur um Verschlüsselung, sondern auch um doppelte Erpressungstaktiken. Die Angreifer behaupten, sensible Daten gestohlen zu haben, darunter:

• Netzwerkinformationen
• Fertigungsdaten
• Finanzunterlagen (Rechnungen, Budgets, Jahresberichte usw.)
• Mitarbeiter- und Kundendaten

Opfer werden gewarnt, dass ihre Daten bei Weigerung, das Lösegeld zu zahlen, preisgegeben werden. Um den Druck zu erhöhen, bieten die Angreifer an, den Datendiebstahl nachzuweisen und eine einzelne Datei zu entschlüsseln, um ihre Fähigkeiten zu demonstrieren.

Zuschreibung: Der Bedrohungsakteur „Mora_001“

Die SuperBlack-Ransomware wurde in Kampagnen von Januar bis März 2025 von einem russischsprachigen Angreifer namens „Mora_001“ eingesetzt. Die Malware wurde mit Tox-IDs beobachtet, die mit der LockBit-Ransomware verknüpft sind, obwohl ihre Infrastruktur unabhängig zu sein scheint. Obwohl die genaue Beziehung zu LockBit unklar ist, weist SuperBlack bemerkenswerte Ähnlichkeiten mit seinem Vorgänger auf.

Angriffsvektor: Wie SuperBlack Systeme infiziert

Die Infektionen mit der SuperBlack-Ransomware wurden mit Schwachstellen in der Fortinet-Firewall in Verbindung gebracht. Der Angriff verläuft typischerweise in mehreren Phasen:

• Erster Zugriff : Angreifer nutzen Sicherheitslücken in Fortinet-Firewall-Geräten aus.
• Rechteerweiterung : Sie erhalten höhere Berechtigungen innerhalb des Systems.
• Persistenzmechanismen : Die Malware stellt sicher, dass sie auch nach Neustarts aktiv bleibt.
• Laterale Bewegung : Die Infektion verbreitet sich über das Netzwerk und zielt auf mehrere Geräte ab.
• Datenexfiltration : Sensible Daten werden gesammelt, bevor der Verschlüsselungsprozess beginnt.
• Dateiverschlüsselung : Der letzte Schritt besteht darin, Dateien zu sperren und ein Lösegeld zu fordern.

Warum die Zahlung des Lösegelds nicht empfohlen wird

Opfer der SuperBlack-Ransomware fühlen sich möglicherweise gezwungen, zu zahlen, um ihre verschlüsselten Dateien wiederherzustellen. Dies birgt jedoch erhebliche Risiken. Es besteht keine Gewissheit, dass Cyberkriminelle auch nach Zahlungseingang das erforderliche Entschlüsselungstool bereitstellen, sodass Opfer trotz Erfüllung der Forderungen keinen Zugriff auf ihre Daten haben. Darüber hinaus fördert die Zahlung eines Lösegelds weitere Ransomware-Kampagnen und ermutigt Angreifer, weiterhin Einzelpersonen und Organisationen ins Visier zu nehmen.

Ein weiteres Hauptproblem ist die Möglichkeit einer doppelten Erpressung, bei der Cyberkriminelle selbst nach Zahlung des ursprünglichen Lösegelds weitere Zahlungen verlangen. In manchen Fällen geraten Opfer in einen endlosen Erpressungskreislauf, aus dem es kein Ende gibt. Selbst wenn Entschlüsselungstools bereitgestellt werden, gibt es keine Garantie dafür, dass die Ransomware vollständig vom System entfernt wurde. Verbleibende Malware kann Dateien erneut infizieren, weiteren Schaden anrichten und die Sicherheitskrise verlängern. Angesichts dieser Risiken ist die Zahlung des Lösegelds weder eine zuverlässige noch eine empfehlenswerte Lösung.

So schützen Sie Ihre Geräte vor der SuperBlack-Ransomware

Um das Risiko einer Infektion und potenzieller Schäden zu verringern, befolgen Sie die folgenden grundlegenden Best Practices für die Cybersicherheit:

1. Sichern Sie wichtige Daten: Erstellen Sie Offline- und Cloud-Backups, die für Ransomware unzugänglich sind. Verwenden Sie versionierte Backups, um Dateien von einem Zeitpunkt vor der Infektion wiederherzustellen.
2. Aktualisieren Sie Software und Betriebssysteme regelmäßig : Patchen Sie Fortinet-Firewalls und andere Netzwerkgeräte, um bekannte Schwachstellen zu schließen. Aktivieren Sie automatische Updates für Betriebssysteme, Sicherheitssoftware und Anwendungen.
3. Nutzen Sie leistungsstarke Endpoint-Sicherheitslösungen : Setzen Sie fortschrittliche Anti-Malware-Tools mit Echtzeitschutz ein. Nutzen Sie Endpoint Detection and Response (EDR)-Lösungen zur Bedrohungsüberwachung.
4. Implementieren Sie Netzwerksicherheitsmaßnahmen : Konfigurieren Sie Firewalls und Intrusion Detection Systems (IDS), um verdächtige Aktivitäten zu blockieren. Beschränken Sie den Remote Desktop Protocol (RDP)-Zugriff und verwenden Sie die Multi-Faktor-Authentifizierung (MFA).
5. Vorsicht vor Phishing-Angriffen : Vermeiden Sie das Klicken auf Links oder das Herunterladen von Anhängen aus unbekannten oder verdächtigen E-Mails. Schulen Sie Ihre Mitarbeiter darin, Phishing-Angriffe zu erkennen und zu melden.
6. Beschränken Sie Administratorrechte : Wenden Sie das Prinzip der geringsten Privilegien (PoLP) an, um den Benutzerzugriff einzuschränken. Deaktivieren Sie die Makroausführung in Microsoft Office und verhindern Sie die unbefugte Ausführung von Skripts.
7. Deaktivieren Sie nicht benötigte Dienste und Ports : Schließen Sie nicht verwendete Netzwerkports, um die Anfälligkeit für externe Bedrohungen zu verringern.: Entfernen Sie veraltete oder nicht verwendete Remotezugriffstools, die ausgenutzt werden könnten.
8. Verwenden Sie Anwendungs-Whitelists und Sandboxing : Beschränken Sie die Ausführung auf genehmigte Anwendungen, um die Ausführung von Ransomware zu verhindern. Führen Sie verdächtige Dateien in einer isolierten Umgebung aus, bevor Sie sie auf dem System zulassen.

Fazit: Ransomware-Bedrohungen immer einen Schritt voraus

Die SuperBlack-Ransomware stellt eine bedrohliche Weiterentwicklung moderner Cyberbedrohungen dar und kombiniert Datenverschlüsselung mit Erpressungstaktiken. Unternehmen und Einzelpersonen müssen proaktiv Maßnahmen ergreifen, um ihre Systeme zu schützen. Durch die Implementierung starker Sicherheitsmaßnahmen, die ständige Überwachung neuer Bedrohungen und die Erstellung sicherer Backups lässt sich das Risiko, Opfer von Ransomware-Angriffen zu werden, deutlich reduzieren. Cybersicherheit ist ein fortlaufender Prozess – Prävention ist immer besser als Reaktion.

SuperBlack Ransomware Video

Tipp: Schalten Sie Ihren Ton EIN und sehen Sie sich das Video im Vollbildmodus an .