{"id":272486,"date":"2022-09-04T00:01:00","date_gmt":"2022-09-03T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272486"},"modified":"2022-09-03T11:32:02","modified_gmt":"2022-09-03T09:32:02","slug":"erkenntnisse-zur-ransomware-gruppe-black-basta-von-palo-alto-networks","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/04\/erkenntnisse-zur-ransomware-gruppe-black-basta-von-palo-alto-networks\/","title":{"rendered":"Erkenntnisse zur Ransomware-Gruppe Black Basta von Palo Alto Networks"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Ransomware-Gruppe Black Basta ist ja recht aktiv bei der Verbreitung ihrer Schadsoftware und bei der Erpressung von Unternehmen. Sicherheitsforscher aus dem Malware-Analyse-Team von Palo Alto Networks, aus der Unit 42, haben sich die Aktivit\u00e4ten der Gruppe n\u00e4her angesehen. Palo Alto Networks hat einen Bericht<\/a> ver\u00f6ffentlicht, der Details \u00fcber die Ransomware-Gruppe Black Basta enth\u00e4lt, die erstmals im April 2022 aufgetaucht ist und seitdem auf dem Vormarsch ist.<\/p>\n

<\/p>\n

Wer ist Black Basta?<\/h2>\n

Black Basta ist eine Ransomware as a Service (RaaS), die erstmals im April 2022 auftauchte. Es gibt jedoch Hinweise darauf, dass sie sich seit Februar in der Entwicklung befindet. Die Betreiber von Black Basta wenden eine doppelte Erpressungstechnik an. Sie verschl\u00fcsseln nicht nur Dateien auf den Systemen der Angriffsziele und fordern L\u00f6segeld f\u00fcr die Entschl\u00fcsselung, sondern unterhalten auch eine Leak-Site im Dark Web, auf der sie damit drohen, sensible Informationen zu ver\u00f6ffentlichen, falls ein Opfer kein L\u00f6segeld zahlt.<\/p>\n

Die Partner von Black Basta sind seit dem ersten Auftauchen der Ransomware sehr aktiv bei der Verbreitung von Black Basta und der Erpressung von Unternehmen. Obwohl sie erst seit ein paar Monaten aktiv sind, haben sie nach den auf ihrer Leak-Site ver\u00f6ffentlichten Informationen zum Zeitpunkt dieser Ver\u00f6ffentlichung bereits \u00fcber 75 Unternehmen und Institutionen infiziert. Unit 42 hat auch bereits an mehreren Black Basta-F\u00e4llen gearbeitet.<\/p>\n

Ransomeware in C++ f\u00fcr Linux und Windows<\/h2>\n

Die Ransomware ist in C++ geschrieben und wirkt sich sowohl auf Windows- als auch auf Linux-Betriebssysteme aus. Sie verschl\u00fcsselt die Daten der Benutzer mit einer Kombination aus ChaCha20 und RSA-4096. Um den Verschl\u00fcsselungsprozess zu beschleunigen, verschl\u00fcsselt die Ransomware in Abschnitten von 64 Byte, wobei 128 Byte Daten zwischen den verschl\u00fcsselten Bereichen unverschl\u00fcsselt bleiben. Je schneller die Ransomware verschl\u00fcsselt, desto mehr Systeme k\u00f6nnen potenziell kompromittiert werden, bevor die Verteidigungsma\u00dfnahmen ausgel\u00f6st werden. Dies ist ein entscheidender Faktor, auf den die Partner achten, wenn sie sich einer Ransomware-as-a-Service-Gruppe anschlie\u00dfen.<\/p>\n

QBot als ersten Einstiegspunkt<\/h2>\n

Unit 42 von Palo Alto Networks hat beobachtet, dass die Black-Basta-Ransomware-Gruppe QBot als ersten Einstiegspunkt nutzt, um sich seitlich in kompromittierten Netzwerken zu bewegen. QBot, auch bekannt als Qakbot<\/a>, ist ein Windows-Malware-Stamm, der als Banking-Trojaner begann und sich zu einem Malware-Dropper entwickelte. Er wurde auch von anderen Ransomware-Gruppen verwendet, darunter MegaCortex, ProLock, DoppelPaymer<\/a> und Egregor<\/a>. W\u00e4hrend diese Ransomware-Gruppen QBot f\u00fcr den Erstzugang nutzten, wurde die Black Basta-Gruppe dabei beobachtet, wie sie QBot sowohl f\u00fcr den Erstzugang als auch f\u00fcr die seitliche Verbreitung im Netzwerk einsetzte.<\/p>\n

Weitere Annahmen<\/h2>\n

Da die Black Basta-Angriffe im Jahr 2022 weltweit aufsehenerregend waren und immer wieder auftraten, ist es wahrscheinlich, dass die Betreiber und\/oder die mit ihnen verbundenen Partner, die hinter dem Dienst stehen, weiterhin Unternehmen angreifen und erpressen werden. Es ist auch m\u00f6glich, dass es sich nicht um eine neue Operation handelt, sondern eher um eine Neuauflage einer fr\u00fcheren Ransomware-Gruppe, die ihre Partner mitgebracht hat. Aufgrund zahlreicher \u00c4hnlichkeiten in den Taktiken, Techniken und Verfahren \u2013 wie\u00a0 Victim-Shaming-Blogs, Wiederherstellungsportale, Verhandlungstaktiken und die Art und Weise, wie schnell Black Basta seine Opfer sammelte \u2013 k\u00f6nnte die Gruppe aktuelle oder ehemalige Mitglieder der Conti-Gruppe umfassen.<\/p>\n

Seit dem Auftauchen der Ransomware sind die Mitglieder der Gruppe sehr aktiv bei der Verbreitung und Erpressung von Unternehmen. Die Angreifer betreiben einen Marktplatz f\u00fcr Cyberkriminalit\u00e4t und einen Blog, in dem die Gruppe die Namen ihrer Opfer, Beschreibungen, den Prozentsatz der Ver\u00f6ffentlichung, die Anzahl der Besuche und alle exfiltrierten Daten auflistet.<\/p>\n

Zusammenfassung<\/h2>\n

Obwohl die Mitglieder erst seit ein paar Monaten aktiv sind, haben sie nach den auf ihrer Leak-Site ver\u00f6ffentlichten Informationen bereits mehr als 75 Unternehmen und Institutionen kompromittiert. Die Incident Responder von Unit 42 haben bereits auf mehrere Black Basta-Ransomware-F\u00e4lle reagiert. Hier einige wichtige Ergebnisse der Untersuchung von Palo Alto Networks:<\/p>\n