Black Basta
Black BastaDie operativen Methoden der Terroristen zeigen ihre Anpassungsfähigkeit und ihre Bereitschaft, sowohl technische Schwachstellen als auch menschliche Faktoren auszunutzen, um ihre Ziele zu erreichen. Das Verständnis dieser Taktiken kann Unternehmen dabei helfen, ihre Abwehr gegen solche ausgeklügelten Bedrohungen zu verstärken.
Der Ursprung der Black Basta
Black Basta war eine finanziell motivierte ransomware , die von Anfang 2022 bis Januar 2025 aktiv war und für hochwirksame doppelte Erpressungsaktionen gegen Unternehmen in Nordamerika, Europa und Asien bekannt war. Die Gruppe kompromittiert Unternehmensnetzwerke, um ransomware zu verteilen, exfiltriert sensible Daten und zwingt die Opfer unter Androhung öffentlicher Enthüllungen zur Zahlung von Lösegeldern in Millionenhöhe.
Black Basta setzt häufig Hebel ein:
- Erstmaliger Zugriff über gestohlene Anmeldeinformationen, Malspam oder Remote-Desktop-Exposition
- Cobalt Strike, Brute Ratel und kundenspezifische Lader für seitliche Bewegung
- Tools wie Mimikatz, RClone und PSExec für das Dumping von Anmeldeinformationen und die Datenexfiltration
- Veröffentlichung exfiltrierter Daten auf ihrer Leak-Site für Erpressung
Die Gruppe hat Verbindungen zu fortgeschrittenem Infrastrukturmanagement, einschließlich SOCKS-Proxy-Schichten, phishing und modularen Werkzeugen. Sie unterhält eine russischsprachige interne Kommunikation und koordiniert sich über Matrix-Kanäle, wobei sie häufig mit angeschlossenen Unternehmen oder Brokern zusammenarbeitet.
Black Basta wurde mit Angriffen auf kritische Infrastrukturen, das Gesundheitswesen, die Justiz und die Industrie in Verbindung gebracht. Sie gilt als eine der aktivsten und am besten strukturierten ransomware des Jahres 2024.
Von Blackbasta betroffene Länder
Black BastaDie Operationen des Unternehmens erstrecken sich über mehrere Regionen, wobei bedeutende Vorfälle in den Vereinigten Staaten, Deutschland, dem Vereinigten Königreich, Kanada und Australien gemeldet wurden. Diese Regionen sind aufgrund ihrer hochwertigen Industrien und kritischen Infrastrukturen häufig Ziel von Angriffen.
Zielbranchen von Blackbasta
Black Basta hat ein breites Spektrum von Branchen ins Visier genommen, insbesondere den Sektor Gesundheitswesen und öffentliche Gesundheit (HPH) aufgrund seiner kritischen Natur und seiner Abhängigkeit von der Technologie. Weitere betroffene Sektoren sind das Finanzwesen, die verarbeitende Industrie und die Informationstechnologie.
Die Opfer von Blackbasta
Auch wenn die Namen der jüngsten Opfer aus Gründen des Datenschutzes und der Sicherheit nicht immer öffentlich zugänglich sind, zählen wir mehr als 439 Opfer, darunter große Unternehmen und Institutionen in den oben genannten Bereichen. Jüngsten Berichten zufolge gab es Angriffe auf Gesundheitssysteme, große Fertigungsunternehmen und Finanzinstitute.
Blackbasta's Angriffsmethode
Black Basta In der Regel verwenden sie Spearphishing-E-Mails und nutzen bekannte Sicherheitslücken wie CVE-2024-1709 aus. Es ist auch bekannt, dass sie gültige Anmeldedaten missbrauchen, um sich einen ersten Zugang zu verschaffen. malware.
Tools wie Mimikatz werden für das Auslesen von Anmeldeinformationen verwendet, während Schwachstellen wie ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) und PrintNightmare (CVE-2021-34527) ausgenutzt werden, um die Rechte zu erweitern.
Die Gruppe wendet eine Verschleierungstaktik an, indem sie unverfängliche Dateinamen wie Intel oder Dell verwendet. Sie setzen auch Tools wieBackstab ein, um endpoint Erkennungs- und Reaktionssysteme (EDR) zu deaktivieren, und verwenden PowerShell, um Antivirenprodukte zu deaktivieren.
Black Basta Die Angreifer verwenden Tools zum Auslesen von Anmeldeinformationen wie Mimikatz und nutzen bekannte Schwachstellen aus, um sich administrativen Zugriff zu verschaffen und ihre Rechte innerhalb des Netzwerks zu erweitern.
Netzwerk-Scanning-Tools wie SoftPerfect Network Scanner werden verwendet, um das Netzwerk abzubilden und wichtige Systeme und Datenspeicher zu identifizieren.
Die Gruppe verwendet Tools wie BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect und Cobalt Strike , um sich lateral in Netzwerken zu bewegen.
Vor der Verschlüsselung werden die Daten gesammelt und für die Exfiltration vorbereitet. Dazu kann die Komprimierung von Dateien oder die Bereitstellung von Daten zur Vorbereitung der Übertragung gehören.
Vor der Verschlüsselung werden die Daten gesammelt und für die Exfiltration vorbereitet. Dazu kann die Komprimierung von Dateien oder die Bereitstellung von Daten zur Vorbereitung der Übertragung gehören.
Tools wie RClone werden zur Exfiltration von Daten auf von Akteuren kontrollierte Server verwendet. Diese Daten werden häufig als Druckmittel verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.
ransomware verschlüsselt Dateien mit einem ChaCha20-Algorithmus mit einem öffentlichen RSA-4096-Schlüssel und fügt den Dateinamen eine .basta- oder zufällige Erweiterung hinzu. In den Lösegeldforderungen, die auf den befallenen Systemen hinterlassen werden, werden die Opfer angewiesen, die Gruppe über eine Tor-Site zu kontaktieren.
Black Basta In der Regel verwenden sie Spearphishing-E-Mails und nutzen bekannte Sicherheitslücken wie CVE-2024-1709 aus. Es ist auch bekannt, dass sie gültige Anmeldedaten missbrauchen, um sich einen ersten Zugang zu verschaffen. malware.
Tools wie Mimikatz werden für das Auslesen von Anmeldeinformationen verwendet, während Schwachstellen wie ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) und PrintNightmare (CVE-2021-34527) ausgenutzt werden, um die Rechte zu erweitern.
Die Gruppe wendet eine Verschleierungstaktik an, indem sie unverfängliche Dateinamen wie Intel oder Dell verwendet. Sie setzen auch Tools wieBackstab ein, um endpoint Erkennungs- und Reaktionssysteme (EDR) zu deaktivieren, und verwenden PowerShell, um Antivirenprodukte zu deaktivieren.
Black Basta Die Angreifer verwenden Tools zum Auslesen von Anmeldeinformationen wie Mimikatz und nutzen bekannte Schwachstellen aus, um sich administrativen Zugriff zu verschaffen und ihre Rechte innerhalb des Netzwerks zu erweitern.
Netzwerk-Scanning-Tools wie SoftPerfect Network Scanner werden verwendet, um das Netzwerk abzubilden und wichtige Systeme und Datenspeicher zu identifizieren.
Die Gruppe verwendet Tools wie BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect und Cobalt Strike , um sich lateral in Netzwerken zu bewegen.
Vor der Verschlüsselung werden die Daten gesammelt und für die Exfiltration vorbereitet. Dazu kann die Komprimierung von Dateien oder die Bereitstellung von Daten zur Vorbereitung der Übertragung gehören.
Vor der Verschlüsselung werden die Daten gesammelt und für die Exfiltration vorbereitet. Dazu kann die Komprimierung von Dateien oder die Bereitstellung von Daten zur Vorbereitung der Übertragung gehören.
Tools wie RClone werden zur Exfiltration von Daten auf von Akteuren kontrollierte Server verwendet. Diese Daten werden häufig als Druckmittel verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.
ransomware verschlüsselt Dateien mit einem ChaCha20-Algorithmus mit einem öffentlichen RSA-4096-Schlüssel und fügt den Dateinamen eine .basta- oder zufällige Erweiterung hinzu. In den Lösegeldforderungen, die auf den befallenen Systemen hinterlassen werden, werden die Opfer angewiesen, die Gruppe über eine Tor-Site zu kontaktieren.
TTPs verwendet von Black Basta
So erkennen Sie Black Basta mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist Blackbasta Ransomware?
Blackbasta ist eine raffinierte ransomware Gruppe, die im April 2022 auftauchte. Sie wenden eine doppelte Erpressungstaktik an, indem sie die Daten der Opfer verschlüsseln und drohen, sensible Informationen freizugeben, wenn das Lösegeld nicht gezahlt wird.
Wie verschafft sich Blackbasta normalerweise den ersten Zugang zu einem Netzwerk?
Blackbasta verschafft sich den ersten Zugang oft durch phishing E-Mails mit bösartigen Anhängen oder Links, durch das Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen, durch bösartige Werbung oder Drive-by-Downloads.
Welche Branchen sind am häufigsten Ziel von Blackbasta?
Blackbasta richtet sich an eine Vielzahl von Branchen, darunter das Gesundheitswesen, die verarbeitende Industrie, das Finanzwesen, der Rechtsbereich, das Bildungswesen, die Regierung und die Informationstechnologie.
Welche Länder sind am stärksten von Blackbasta-Angriffen betroffen?
Blackbasta richtet sich in erster Linie an Unternehmen in den Vereinigten Staaten, Kanada, Großbritannien, Deutschland, Frankreich und Australien, ist jedoch weltweit tätig.
Was sind einige der bekannten Taktiken, Techniken und Verfahren (TTPs), die von Blackbasta verwendet werden?
Blackbasta verwendet verschiedene TTPs wie phishing (T1566), Befehls- und Skript-Interpreter (T1059), Credential Dumping (T1003), Deaktivierung von Sicherheitstools (T1562) und verschlüsselte Daten (T1486).
Wie kann Blackbasta die Privilegien innerhalb eines kompromittierten Netzwerks erweitern?
Blackbasta erweitert seine Privilegien, indem er ungepatchte Software-Schwachstellen ausnutzt und Tools wie Mimikatz verwendet, um Anmeldedaten aus dem Speicher zu extrahieren.
Welche Methoden verwendet Blackbasta, um sich der Entdeckung zu entziehen?
Blackbasta verwendet Verschleierungstechniken, deaktiviert Sicherheitstools, setzt LotL-Taktiken (Living off the Land) ein und nutzt legitime Software und Tools, um die Entdeckung zu umgehen.
Wie bewegt sich Blackbasta seitlich in einem Netzwerk?
Blackbasta verwendet das Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) und Remote Services, um sich innerhalb eines Netzwerks zu bewegen.
Was sind die typischen Phasen eines Blackbasta ransomware Angriffs?
Die Phasen umfassen den Erstzugriff, die Ausweitung der Rechte, die Umgehung der Verteidigung, den Zugriff auf Anmeldeinformationen, die Entdeckung, die seitliche Bewegung, die Erfassung, die Ausführung, die Exfiltration und die Auswirkungen.
Welche Präventivmaßnahmen können Unternehmen ergreifen, um sich vor Blackbasta ransomware zu schützen?
Unternehmen können sich vor Blackbasta schützen, indem sie robuste E-Mail-Filter implementieren, Schwachstellen umgehend beheben, eine Multi-Faktor-Authentifizierung verwenden, regelmäßige Sicherheitsschulungen für Mitarbeiter durchführen, auf ungewöhnliche Aktivitäten achten, Backups auf dem neuesten Stand halten und erweiterte Erkennungs- und Reaktionssysteme (Extended Detection and Response, XDR) einsetzen, um Bedrohungen schnell zu erkennen und auf sie zu reagieren.