Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als führend eingestuft. >
NEU
JETZT VERÖFFENTLICHT

Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als führend eingestuft. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Angriffs-Techniken

Wie Black Basta öffentliche Daten in ein Spielbuch für Einbrüche verwandelte

Juni 25, 2025
Lucie Cardiet
Leiter Produktmarketing
Wie Black Basta öffentliche Daten in ein Spielbuch für Einbrüche verwandelte
Dieser Blog wurde ursprünglich als Artikel in SC Media veröffentlicht und wird hier mit Genehmigung wiederveröffentlicht.

Im Mai 2025 enthüllten durchgesickerte interne Chat-Protokolle derransomware Black Basta , wie Angreifer öffentliche Daten nutzten, um ein Profil von Unternehmen zu erstellen, verwundbare Infrastrukturen zu identifizieren und sich unbemerkt Zugang zu verschaffen - und das alles, bevor sie eine einzige bösartige Nutzlast starteten.

Ihr Ansatz war auffallend methodisch. Die Partner begannen mit Tools wie ZoomInfo, um potenzielle Ziele auf der Grundlage von Größe, Branche und Umsatz zu filtern. Sobald ein Unternehmen als hochwertiges Ziel identifiziert war, wendeten sie sich an LinkedIn, um das Organigramm zu erstellen und Stellenausschreibungen zu analysieren, um zu verstehen, welche Technologien verwendet wurden. Anschließend nutzten sie Plattformen zur Kontaktanreicherung wie RocketReach und SignalHire, um E-Mail-Adressen zu sammeln, genau wie es ein Vertriebsteam bei der Akquise tun würde.

Aber es blieb nicht bei den Mitarbeiterdaten. Mithilfe von Plattformen wie Shodan und FOFA durchsuchte die Gruppe das Internet nach gefährdeten Infrastrukturen: VPN-Portale, Citrix-Instanzen, anfällige Geräte wie SonicWall oder Fortinet und cloud wie Jenkins oder ESXi. In einigen Fällen verfügten sie bereits über durchgesickerte Anmeldedaten aus früheren Angriffen, so dass sie sich anmelden konnten, ohne einen Alarm auszulösen.

Es handelte sich nicht um einen zero-day oder einen Insider-Job. Es war ein Lehrbuchbeispiel dafür, wie Angreifer Open-Source Intelligence (OSINT) als Waffe einsetzen können.

Was ist OSINT und warum ist es wichtig?

OSINT ist das Sammeln und Analysieren öffentlich zugänglicher Informationen, um daraus verwertbare Erkenntnisse zu gewinnen. Es ist nicht nur ein leistungsfähiges Werkzeug für Cybersicherheitsteams und Ermittler, sondern auch ein beliebtes Mittel für Angreifer in der Frühphase eines Angriffs. Von Unternehmensblogs und öffentlichen Repos bis hin zu Social-Media-Posts und durchgesickerten Anmeldeinformationen bietet OSINT Bedrohungsakteuren alles, was sie brauchen, um zu verstehen, wie ein Unternehmen arbeitet und wo es möglicherweise gefährdet ist.

Black Basta hat diese Methode nicht erfunden. Sie haben sie nur gut genutzt, und sie sind nicht allein.

Wonach Angreifer suchen

Obwohl OSINT aus unzähligen Quellen stammen, lassen sie sich im Allgemeinen in vier Hauptkategorien einteilen:

  1. Personendaten
    Profile in sozialen Medien, öffentliche Foren und Biografien von Rednern helfen Angreifern, wichtige Mitarbeiter, Organisationsstrukturen und Arbeitsgewohnheiten zu identifizieren.
  2. Unternehmen und technische Exposition
    Stellenausschreibungen, Pressemitteilungen von Anbietern, GitHub-Repos und WHOIS-Datensätze geben Aufschluss über den verwendeten technischen Stack und alle kürzlich vorgenommenen Änderungen, die zu Schwachstellen führen könnten.
  3. Infrastruktur-Footprints
    Tools wie Shodan und FOFA werden verwendet, um Internet-exponierte Dienste (VPNs, cloud , offene Ports oder veraltete Software) zu finden.
  4. Durchgesickerte Anmeldedaten
    Passwort-Dumps aus vergangenen Sicherheitsverletzungen sind leicht zu finden und werden oft wiederverwendet. Angreifer nutzen diese, um unbemerkt auf Konten zuzugreifen, insbesondere wenn MFA nicht erzwungen wird.

Kurz gesagt, Angreifer kombinieren verstreute Teile öffentlicher Daten zu einer vollständigen und genauen Karte Ihrer Umgebung, oft mit besserem Kontext als interne Teams ihn haben.

Was Sie heute tun können

Die Verringerung Ihres digitalen Fußabdrucks ist mühsam, aber eine der effektivsten Methoden, um Angreifer zu verlangsamen und die Aufklärungsarbeit zu unterbrechen. Beginnen Sie mit diesen Schritten:

Für alle:

  • Suchen Sie regelmäßig nach sich selbst. Schauen Sie, was auftaucht, wenn Sie Ihren Namen, Ihre E-Mail oder frühere Arbeiten googeln. Entfernen Sie alles, was sensible Projekte, interne Tools oder Kontaktinformationen offenbart.
  • Denken Sie nach, bevor Sie etwas posten. Vermeiden Sie es, Fotos vom Büro, technische Details oder Namen von Lieferanten in öffentlichen Foren und sozialen Plattformen zu veröffentlichen.
  • Bereinigen Sie Ihre Dateien. Entfernen Sie Metadaten aus Dokumenten und Bildern, bevor Sie sie extern weitergeben. Tools wie ExifTool können dabei helfen.
  • Trennen Sie berufliche und private Konten. Halten Sie Ihr Privatleben privat und schränken Sie ein, welche beruflichen Details öffentlich zugänglich sind.
  • Bleiben Sie wachsam gegenüber Social Engineering. Wenn jemand mit Ihnen Kontakt aufnimmt und dabei merkwürdige Angaben macht, überprüfen Sie diese, bevor Sie antworten oder klicken.

Für Sicherheitsteams:

  • Überwachen Sie ähnlich aussehende Domains. Stellen Sie Alarme für neu registrierte Domains ein, die Ihre Marke nachahmen, und handeln Sie, bevor sie zur Waffe werden.
  • Überprüfen Sie die Zugriffskontrollen. Beschränken Sie die Berechtigungen auf das Nötigste, und entfernen Sie veraltete Konten oder ungenutzte Dienstanmeldedaten.
  • Segmentieren Sie Ihr Netzwerk. Stellen Sie sicher, dass Entwicklungs-, Produktions- und interne Systeme isoliert sind, um den Radius eines Eindringens zu verringern.
  • Simulieren Sie einen OSINT-basierten Angriff. Beauftragen Sie Ihr rotes Team damit, nur öffentliche Daten zu sammeln, und sehen Sie, wie weit sie kommen können. Nutzen Sie die Ergebnisse, um Kontrollen und Sensibilisierungsschulungen durchzuführen.

Das größere Bild

Die Black Basta Fall sollte als Weckruf dienen. Man braucht keinen zero-day , wenn Menschen und Systeme alles offenlegen, was Angreifer brauchen. Bei der Sicherheit geht es nicht nur um das Patchen von Systemen oder den Einsatz der neuesten Tools: Es geht auch darum, das Bewusstsein zu schärfen, digitale Hygiene zu betreiben und es den Angreifern zu erschweren, die Informationen zu sammeln, auf die sie angewiesen sind. Die Verringerung der öffentlichen Gefährdung und die frühzeitige Erkennung von Anzeichen für eine Kompromittierung (insbesondere in Bezug auf Identität, Netzwerk und cloud) ist nicht optional. Es ist die neue Grundlage für die Verteidigung.

Die Vectra AI : Wenn Prävention nicht genug ist

Selbst mit diesen guten Gewohnheiten, starken Firewalls und endpoint können Angreifer Wege finden, Ihre Sicherheit zu umgehen. Keine Angst, wenn Prävention allein einen Angriff nicht stoppen kann, greift die Vectra AI ein. Vectra AI überwacht kontinuierlich den Netzwerkverkehr, die cloud und die SaaS-Aktivitäten, um subtile Anzeichen für einen Angriff zu erkennen. Wenn ein Angreifer eine Firewall oder einen phishing umgeht, erkennt die KI-gesteuerte Analyse von Vectra AIAI ungewöhnliche Muster, z. B. eine gültige Benutzeridentität, die sich von einem unerwarteten Standort aus authentifiziert, auf sensible cloud zugreift oder ein Servicekonto, das seltene API-Aufrufe tätigt. Da sich Vectra AI AI auf Identität und Verhalten konzentriert, fängt es Bedrohungen ab, die von anderen Schutzmaßnahmen übersehen werden, und alarmiert Sicherheitsteams sofort, sodass sie handeln können, bevor Daten verloren gehen.

Möchten Sie die Plattform in Aktion sehen? Fordern Sie eine Demo an.

Häufig gestellte Fragen