Schwarzer Basta
Die operativen Methoden von Black Basta zeigen ihre Anpassungsfähigkeit und ihre Bereitschaft, sowohl technische Schwachstellen als auch menschliche Faktoren auszunutzen, um ihre Ziele zu erreichen. Das Verständnis dieser Taktiken kann Unternehmen dabei helfen, ihre Abwehr gegen solche ausgeklügelten Bedrohungen zu verstärken.
Der Ursprung von Black Basta
Black Basta ist eine ransomware-as-a-service (RaaS) Variante, die erstmals im April 2022 entdeckt wurde. Die Gruppe operiert durch Verschlüsselung und Exfiltration von Daten ihrer Opfer und war in Nordamerika, Europa und Australien aktiv. Bis Mai 2024 haben Black-Basta-Mitglieder weltweit mehr als 500 Organisationen angegriffen, darunter mindestens 12 von 16 kritischen Infrastruktursektoren, wobei der Schwerpunkt auf dem Gesundheitswesen und dem öffentlichen Gesundheitswesen liegt.
Einige Forscher spekulieren, dass Black Basta mit anderen kriminellen Gruppen wie FIN7 und Conti verwandt sein könnte, da es Ähnlichkeiten bei den Taktiken, Techniken und Verfahren (TTPs) gibt.
Quelle: OCD
Ziele
Blackbasta's Ziele
Von Blackbasta betroffene Länder
Die Aktivitäten von Black Basta erstrecken sich über mehrere Regionen, wobei bedeutende Vorfälle in den Vereinigten Staaten, Deutschland, dem Vereinigten Königreich, Kanada und Australien gemeldet wurden. Diese Regionen werden häufig aufgrund ihrer hochwertigen Industrien und kritischen Infrastrukturen angegriffen.
Zielbranchen von Blackbasta
Black Basta hat es auf eine Vielzahl von Branchen abgesehen, insbesondere auf das Gesundheitswesen und die öffentliche Gesundheit (HPH), da diese Sektoren kritisch und technologieabhängig sind. Weitere betroffene Sektoren sind das Finanzwesen, die verarbeitende Industrie und die Informationstechnologie.
Zielbranchen von Blackbasta
Black Basta hat es auf eine Vielzahl von Branchen abgesehen, insbesondere auf das Gesundheitswesen und die öffentliche Gesundheit (HPH), da diese Sektoren kritisch und technologieabhängig sind. Weitere betroffene Sektoren sind das Finanzwesen, die verarbeitende Industrie und die Informationstechnologie.
Die Opfer von Blackbasta
Auch wenn die Namen der jüngsten Opfer aus Gründen des Datenschutzes und der Sicherheit nicht immer öffentlich zugänglich sind, zählen wir mehr als 439 Opfer, darunter große Unternehmen und Institutionen in den oben genannten Bereichen. Jüngsten Berichten zufolge gab es Angriffe auf Gesundheitssysteme, große Fertigungsunternehmen und Finanzinstitute.
Angriffsmethode
Blackbasta's Angriffsmethode
Black-Basta-Mitglieder verwenden in der Regel Spearphishing-E-Mails und nutzen bekannte Schwachstellen wie CVE-2024-1709 aus. Es ist auch bekannt, dass sie gültige Anmeldedaten missbrauchen, um sich einen ersten Zugang zu verschaffen. malware.
Tools wie Mimikatz werden für das Auslesen von Anmeldeinformationen verwendet, während Schwachstellen wie ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) und PrintNightmare (CVE-2021-34527) ausgenutzt werden, um die Rechte zu erweitern.
Die Gruppe wendet eine Verschleierungstaktik an, indem sie unverfängliche Dateinamen wie Intel oder Dell verwendet. Sie setzen auch Tools wieBackstab ein, um endpoint Erkennungs- und Reaktionssysteme (EDR) zu deaktivieren, und verwenden PowerShell, um Antivirenprodukte zu deaktivieren.
Black-Basta-Mitglieder verwenden Tools zum Auslesen von Anmeldeinformationen wie Mimikatz und nutzen bekannte Schwachstellen aus, um sich administrativen Zugriff zu verschaffen und ihre Rechte innerhalb des Netzwerks zu erweitern.
Netzwerk-Scanning-Tools wie SoftPerfect Network Scanner werden verwendet, um das Netzwerk abzubilden und wichtige Systeme und Datenspeicher zu identifizieren.
Die Gruppe verwendet Tools wie BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect und Cobalt Strike , um sich lateral in Netzwerken zu bewegen.
Vor der Verschlüsselung werden die Daten gesammelt und für die Exfiltration vorbereitet. Dazu kann die Komprimierung von Dateien oder die Bereitstellung von Daten zur Vorbereitung der Übertragung gehören.
Vor der Verschlüsselung werden die Daten gesammelt und für die Exfiltration vorbereitet. Dazu kann die Komprimierung von Dateien oder die Bereitstellung von Daten zur Vorbereitung der Übertragung gehören.
Tools wie RClone werden zur Exfiltration von Daten auf von Akteuren kontrollierte Server verwendet. Diese Daten werden häufig als Druckmittel verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.
ransomware verschlüsselt Dateien mit einem ChaCha20-Algorithmus mit einem öffentlichen RSA-4096-Schlüssel und fügt den Dateinamen eine .basta- oder zufällige Erweiterung hinzu. In den Lösegeldforderungen, die auf den befallenen Systemen hinterlassen werden, werden die Opfer angewiesen, die Gruppe über eine Tor-Site zu kontaktieren.
Erster Zugang
Black-Basta-Mitglieder verwenden in der Regel Spearphishing-E-Mails und nutzen bekannte Schwachstellen wie CVE-2024-1709 aus. Es ist auch bekannt, dass sie gültige Anmeldedaten missbrauchen, um sich einen ersten Zugang zu verschaffen. malware.
Rechte-Eskalation
Tools wie Mimikatz werden für das Auslesen von Anmeldeinformationen verwendet, während Schwachstellen wie ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) und PrintNightmare (CVE-2021-34527) ausgenutzt werden, um die Rechte zu erweitern.
Verteidigung Umgehung
Die Gruppe wendet eine Verschleierungstaktik an, indem sie unverfängliche Dateinamen wie Intel oder Dell verwendet. Sie setzen auch Tools wieBackstab ein, um endpoint Erkennungs- und Reaktionssysteme (EDR) zu deaktivieren, und verwenden PowerShell, um Antivirenprodukte zu deaktivieren.
Zugang zu Anmeldeinformationen
Black-Basta-Mitglieder verwenden Tools zum Auslesen von Anmeldeinformationen wie Mimikatz und nutzen bekannte Schwachstellen aus, um sich administrativen Zugriff zu verschaffen und ihre Rechte innerhalb des Netzwerks zu erweitern.
Entdeckung
Netzwerk-Scanning-Tools wie SoftPerfect Network Scanner werden verwendet, um das Netzwerk abzubilden und wichtige Systeme und Datenspeicher zu identifizieren.
Seitliche Bewegung
Die Gruppe verwendet Tools wie BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect und Cobalt Strike , um sich lateral in Netzwerken zu bewegen.
Sammlung
Vor der Verschlüsselung werden die Daten gesammelt und für die Exfiltration vorbereitet. Dazu kann die Komprimierung von Dateien oder die Bereitstellung von Daten zur Vorbereitung der Übertragung gehören.
Ausführung
Vor der Verschlüsselung werden die Daten gesammelt und für die Exfiltration vorbereitet. Dazu kann die Komprimierung von Dateien oder die Bereitstellung von Daten zur Vorbereitung der Übertragung gehören.
Exfiltration
Tools wie RClone werden zur Exfiltration von Daten auf von Akteuren kontrollierte Server verwendet. Diese Daten werden häufig als Druckmittel verwendet, um die Opfer zur Zahlung des Lösegelds zu zwingen.
Auswirkungen
ransomware verschlüsselt Dateien mit einem ChaCha20-Algorithmus mit einem öffentlichen RSA-4096-Schlüssel und fügt den Dateinamen eine .basta- oder zufällige Erweiterung hinzu. In den Lösegeldforderungen, die auf den befallenen Systemen hinterlassen werden, werden die Opfer angewiesen, die Gruppe über eine Tor-Site zu kontaktieren.
MITRE ATT&CK Kartierung
Von Black Basta verwendete TTPs
Black Basta setzt verschiedene TTPs ein, die mit dem Rahmenwerk MITRE ATT&CK abgestimmt sind. Einige der wichtigsten TTPs sind:
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Plattform-Detektionen
Erkennen von schwarzem Basta mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist Blackbasta Ransomware?
Blackbasta ist eine raffinierte ransomware Gruppe, die im April 2022 auftauchte. Sie wenden eine doppelte Erpressungstaktik an, indem sie die Daten der Opfer verschlüsseln und drohen, sensible Informationen freizugeben, wenn das Lösegeld nicht gezahlt wird.
Wie verschafft sich Blackbasta normalerweise den ersten Zugang zu einem Netzwerk?
Blackbasta verschafft sich den ersten Zugang oft durch phishing E-Mails mit bösartigen Anhängen oder Links, durch das Ausnutzen von Schwachstellen in öffentlich zugänglichen Anwendungen, durch bösartige Werbung oder Drive-by-Downloads.
Welche Branchen sind am häufigsten Ziel von Blackbasta?
Blackbasta richtet sich an eine Vielzahl von Branchen, darunter das Gesundheitswesen, die verarbeitende Industrie, das Finanzwesen, der Rechtsbereich, das Bildungswesen, die Regierung und die Informationstechnologie.
Welche Länder sind am stärksten von Blackbasta-Angriffen betroffen?
Blackbasta richtet sich in erster Linie an Unternehmen in den Vereinigten Staaten, Kanada, Großbritannien, Deutschland, Frankreich und Australien, ist jedoch weltweit tätig.
Was sind einige der bekannten Taktiken, Techniken und Verfahren (TTPs), die von Blackbasta verwendet werden?
Blackbasta verwendet verschiedene TTPs wie phishing (T1566), Befehls- und Skript-Interpreter (T1059), Credential Dumping (T1003), Deaktivierung von Sicherheitstools (T1562) und verschlüsselte Daten (T1486).
Wie kann Blackbasta die Privilegien innerhalb eines kompromittierten Netzwerks erweitern?
Blackbasta erweitert seine Privilegien, indem er ungepatchte Software-Schwachstellen ausnutzt und Tools wie Mimikatz verwendet, um Anmeldedaten aus dem Speicher zu extrahieren.
Welche Methoden verwendet Blackbasta, um sich der Entdeckung zu entziehen?
Blackbasta verwendet Verschleierungstechniken, deaktiviert Sicherheitstools, setzt LotL-Taktiken (Living off the Land) ein und nutzt legitime Software und Tools, um die Entdeckung zu umgehen.
Wie bewegt sich Blackbasta seitlich in einem Netzwerk?
Blackbasta verwendet das Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) und Remote Services, um sich innerhalb eines Netzwerks zu bewegen.
Was sind die typischen Phasen eines Blackbasta ransomware Angriffs?
Die Phasen umfassen den Erstzugriff, die Ausweitung der Rechte, die Umgehung der Verteidigung, den Zugriff auf Anmeldeinformationen, die Entdeckung, die seitliche Bewegung, die Erfassung, die Ausführung, die Exfiltration und die Auswirkungen.
Welche Präventivmaßnahmen können Unternehmen ergreifen, um sich vor Blackbasta ransomware zu schützen?
Unternehmen können sich vor Blackbasta schützen, indem sie robuste E-Mail-Filter implementieren, Schwachstellen umgehend beheben, eine Multi-Faktor-Authentifizierung verwenden, regelmäßige Sicherheitsschulungen für Mitarbeiter durchführen, auf ungewöhnliche Aktivitäten achten, Backups auf dem neuesten Stand halten und erweiterte Erkennungs- und Reaktionssysteme (Extended Detection and Response, XDR) einsetzen, um Bedrohungen schnell zu erkennen und auf sie zu reagieren.