Black Basta
Die Vorgehensweise Black Bastaverdeutlichte ihre Anpassungsfähigkeit und Bereitschaft, sowohl technische Schwachstellen als auch menschliche Faktoren auszunutzen, um ihre Ziele zu erreichen. Das Verständnis dieser Taktiken kann Unternehmen dabei helfen, ihre Abwehrmaßnahmen gegen derart ausgeklügelte Bedrohungen zu stärken.
Der Ursprung der Black Basta
Black Basta war eine finanziell motivierte ransomware , die von Anfang 2022 bis Januar 2025 aktiv war und für ihre wirkungsvollen Doppel-Erpressungsaktionen bekannt war, die sich gegen Organisationen in Nordamerika, Europa und Asien richteten. Die Gruppe kompromittierte Unternehmensnetzwerke, um ransomware zu verbreiten, exfiltrierte sensible Daten und zwang die Opfer unter Androhung öffentlicher Veröffentlichungen zur Zahlung von Lösegeld in Millionenhöhe.
Black Basta genutzt:
- Erstmaliger Zugriff über gestohlene Anmeldeinformationen, Malspam oder Remote-Desktop-Exposition
- Cobalt Strike, Brute Ratel und kundenspezifische Lader für seitliche Bewegung
- Tools wie Mimikatz, RClone und PSExec für das Dumping von Anmeldeinformationen und die Datenexfiltration
- Veröffentlichung exfiltrierter Daten auf ihrer Leak-Site für Erpressung
Die Gruppe hat Verbindungen zu fortschrittlichem Infrastrukturmanagement, einschließlich SOCKS-Proxy-Schichten, phishing und modularen Tools, aufgezeigt. Sie unterhält interne Kommunikation in russischer Sprache und koordiniert sich über Matrix-Kanäle, wobei sie häufig mit verbundenen Unternehmen oder Maklern zusammenarbeitet.
Black Basta wurde mit Angriffen auf kritische Infrastrukturen, das Gesundheitswesen, die Justiz und die Industrie in Verbindung gebracht. Sie gilt als eine der aktivsten und am besten strukturierten ransomware des Jahres 2024.
Von Blackbasta betroffene Länder
Die Aktivitäten Black Basta erstreckten sich über mehrere Regionen, wobei bedeutende Vorfälle in den Vereinigten Staaten, Deutschland, Großbritannien, Kanada und Australien gemeldet wurden. Diese Regionen sind aufgrund ihrer hochwertigen Industrien und kritischen Infrastruktur häufig Ziel von Angriffen.
Zielbranchen von Blackbasta
Black Basta hat ein breites Spektrum von Branchen ins Visier genommen, insbesondere den Sektor Gesundheitswesen und öffentliche Gesundheit (HPH) aufgrund seiner kritischen Natur und seiner Abhängigkeit von der Technologie. Weitere betroffene Sektoren sind das Finanzwesen, die verarbeitende Industrie und die Informationstechnologie.
Die Opfer von Blackbasta
Black Basta April 2022 und Januar 2025 wurden mehr als 521 Opfer von Black Basta angegriffen.
Blackbasta's Angriffsmethode
Black Basta verwendeten in der Regel Spearphishing-E-Mails und nutzten bekannte Schwachstellen wie CVE-2024-1709 aus. Es ist auch bekannt, dass sie gültige Anmeldedaten missbrauchen, um sich zunächst Zugang zu verschaffen.
Tools wie Mimikatz wurden zum Abgreifen von Anmeldedaten verwendet, während Schwachstellen wie ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) und PrintNightmare (CVE-2021-34527) ausgenutzt wurden, um Berechtigungen zu erweitern.
Die Gruppe wandte Maskierungstaktiken an, indem sie harmlose Dateinamen wie Intel oder Dell verwendete. Außerdem setzten sie Tools wie Backstab ein, um endpoint and Response (EDR)-Systeme zu deaktivieren, und nutzten PowerShell, um Antivirenprodukte zu deaktivieren.
Black Basta nutzten Tools zum Abgreifen von Anmeldedaten wie Mimikatz und nutzten bekannte Schwachstellen aus, um sich Administratorrechte zu verschaffen und ihre Berechtigungen innerhalb des Netzwerks zu erweitern.
Netzwerk-Scan-Tools wie SoftPerfect Network Scanner wurden verwendet, um das Netzwerk zu kartieren und wichtige Systeme und Datenspeicher zu identifizieren.
Die Gruppe nutzte Tools wie BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect und Cobalt Strike sich lateral über Netzwerke zu bewegen.
Vor der Verschlüsselung wurden Daten gesammelt und für die Exfiltration vorbereitet. Dazu gehörte das Komprimieren von Dateien oder das Vorbereiten von Daten für die Übertragung.
Tools wie RClone wurden verwendet, um Daten auf vom Angreifer kontrollierte Server zu exfiltrieren.
Die ransomware Dateien mithilfe eines ChaCha20-Algorithmus mit einem öffentlichen RSA-4096-Schlüssel und fügte den Dateinamen die Erweiterung .basta oder eine zufällige Erweiterung hinzu. In Lösegeldforderungen, die auf den kompromittierten Systemen hinterlassen wurden, wurden die Opfer aufgefordert, über eine Tor-Website Kontakt mit der Gruppe aufzunehmen.
Black Basta verwendeten in der Regel Spearphishing-E-Mails und nutzten bekannte Schwachstellen wie CVE-2024-1709 aus. Es ist auch bekannt, dass sie gültige Anmeldedaten missbrauchen, um sich zunächst Zugang zu verschaffen.
Tools wie Mimikatz wurden zum Abgreifen von Anmeldedaten verwendet, während Schwachstellen wie ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) und PrintNightmare (CVE-2021-34527) ausgenutzt wurden, um Berechtigungen zu erweitern.
Die Gruppe wandte Maskierungstaktiken an, indem sie harmlose Dateinamen wie Intel oder Dell verwendete. Außerdem setzten sie Tools wie Backstab ein, um endpoint and Response (EDR)-Systeme zu deaktivieren, und nutzten PowerShell, um Antivirenprodukte zu deaktivieren.
Black Basta nutzten Tools zum Abgreifen von Anmeldedaten wie Mimikatz und nutzten bekannte Schwachstellen aus, um sich Administratorrechte zu verschaffen und ihre Berechtigungen innerhalb des Netzwerks zu erweitern.
Netzwerk-Scan-Tools wie SoftPerfect Network Scanner wurden verwendet, um das Netzwerk zu kartieren und wichtige Systeme und Datenspeicher zu identifizieren.
Die Gruppe nutzte Tools wie BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect und Cobalt Strike sich lateral über Netzwerke zu bewegen.
Vor der Verschlüsselung wurden Daten gesammelt und für die Exfiltration vorbereitet. Dazu gehörte das Komprimieren von Dateien oder das Vorbereiten von Daten für die Übertragung.
Tools wie RClone wurden verwendet, um Daten auf vom Angreifer kontrollierte Server zu exfiltrieren.
Die ransomware Dateien mithilfe eines ChaCha20-Algorithmus mit einem öffentlichen RSA-4096-Schlüssel und fügte den Dateinamen die Erweiterung .basta oder eine zufällige Erweiterung hinzu. In Lösegeldforderungen, die auf den kompromittierten Systemen hinterlassen wurden, wurden die Opfer aufgefordert, über eine Tor-Website Kontakt mit der Gruppe aufzunehmen.
TTPs verwendet von Black Basta
So erkennen Sie Bedrohungsakteure mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist Blackbasta Ransomware?
Blackbasta ist eine raffinierte ransomware Gruppe, die im April 2022 auftauchte. Sie wenden eine doppelte Erpressungstaktik an, indem sie die Daten der Opfer verschlüsseln und drohen, sensible Informationen freizugeben, wenn das Lösegeld nicht gezahlt wird.
Wie verschafft sich Blackbasta normalerweise den ersten Zugang zu einem Netzwerk?
Blackbasta verschafft sich den ersten Zugang oft durch phishing E-Mails mit bösartigen Anhängen oder Links, durch das Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen, durch bösartige Werbung oder Drive-by-Downloads.
Welche Branchen sind am häufigsten Ziel von Blackbasta?
Blackbasta richtet sich an eine Vielzahl von Branchen, darunter das Gesundheitswesen, die verarbeitende Industrie, das Finanzwesen, der Rechtsbereich, das Bildungswesen, die Regierung und die Informationstechnologie.
Welche Länder sind am stärksten von Blackbasta-Angriffen betroffen?
Blackbasta richtet sich in erster Linie an Unternehmen in den Vereinigten Staaten, Kanada, Großbritannien, Deutschland, Frankreich und Australien, ist jedoch weltweit tätig.
Was sind einige der bekannten Taktiken, Techniken und Verfahren (TTPs), die von Blackbasta verwendet werden?
Blackbasta verwendet verschiedene TTPs wie phishing (T1566), Befehls- und Skript-Interpreter (T1059), Credential Dumping (T1003), Deaktivierung von Sicherheitstools (T1562) und verschlüsselte Daten (T1486).
Wie kann Blackbasta die Privilegien innerhalb eines kompromittierten Netzwerks erweitern?
Blackbasta erweitert seine Privilegien, indem er ungepatchte Software-Schwachstellen ausnutzt und Tools wie Mimikatz verwendet, um Anmeldedaten aus dem Speicher zu extrahieren.
Welche Methoden verwendet Blackbasta, um sich der Entdeckung zu entziehen?
Blackbasta verwendet Verschleierungstechniken, deaktiviert Sicherheitstools, setzt LotL-Taktiken (Living off the Land) ein und nutzt legitime Software und Tools, um die Entdeckung zu umgehen.
Wie bewegt sich Blackbasta seitlich in einem Netzwerk?
Blackbasta verwendet das Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) und Remote Services, um sich innerhalb eines Netzwerks zu bewegen.
Was sind die typischen Phasen eines Blackbasta ransomware Angriffs?
Die Phasen umfassen den Erstzugriff, die Ausweitung der Rechte, die Umgehung der Verteidigung, den Zugriff auf Anmeldeinformationen, die Entdeckung, die seitliche Bewegung, die Erfassung, die Ausführung, die Exfiltration und die Auswirkungen.
Welche Präventivmaßnahmen können Unternehmen ergreifen, um sich vor Blackbasta ransomware zu schützen?
Unternehmen können sich vor Blackbasta schützen, indem sie robuste E-Mail-Filter implementieren, Schwachstellen umgehend beheben, eine Multi-Faktor-Authentifizierung verwenden, regelmäßige Sicherheitsschulungen für Mitarbeiter durchführen, auf ungewöhnliche Aktivitäten achten, Backups auf dem neuesten Stand halten und erweiterte Erkennungs- und Reaktionssysteme (Extended Detection and Response, XDR) einsetzen, um Bedrohungen schnell zu erkennen und auf sie zu reagieren.