Einführung der neuen Vectra AI Plattformabdeckung für Copilot und Microsoft Azure

Vectra AI Japan、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
cybercriminels
>
Ransomware Gruppe

Bashe

Bashe, eine Gruppe von ransomware , die früher als APT73 oder Eraleig bekannt war, tauchte im Jahr 2024 mit einer LockBit-ähnlichen Taktik auf, die auf kritische Industrien in den Industrieländern abzielte und Datenerpressung über eine Tor-basierte Data Leak Site (DLS) betrieb.

Bashe's TTPs aufdecken
Ist Ihr Unternehmen vor den Angriffen von Bashe sicher?
Hintergrund
Ziele
TTPs
Erkennung
Häufig gestellte Fragen
Watch Threat Briefing

Der Ursprung von Bashe

Bashe, früher bekannt als APT73 und Eraleig Ransomware, tauchte Mitte April 2024 auf und bezeichnete sich zunächst selbst als "Advanced Persistent Threat" (APT). Diese Selbstbezeichnung, die üblicherweise hochentwickelten und gut ausgerüsteten Cyber-Akteuren vorbehalten ist, scheint Teil der Strategie von Bashe zu sein, sich selbst als glaubwürdige Bedrohung zu vermarkten. Es wird vermutet, dass Bashe aus der Gruppe LockBit ransomware hervorgegangen ist, was auf die Ähnlichkeit ihrer Data Leak Sites (DLS) zurückzuführen ist. Die Struktur der DLS von Bashe enthält die Abschnitte "Contact Us", "How to Buy Bitcoin", "Web Security Bug Bounty" und "Mirrors", die mit denen von LockBit identisch sind.

Bashe operiert über das Tor-Netzwerk, dessen Infrastruktur in der Tschechischen Republik gehostet wird. Er nutzt AS9009 ASN für das Hosting, ein Netzwerk, das bereits von mehreren bösartigen Gruppen und malware genutzt wurde, darunter DarkAngels, Vice Society, TrickBot, Meduza Stealer und Rimasuta. Diese Wahl der Infrastruktur lässt vermuten, dass Bashe vertraute Systeme nutzt, um der Entdeckung zu entgehen.

Der Ursprung von Bashe
Ziele

Die Ziele von Bashe

Zielländer von Bashe

Die Aktivitäten der Gruppe haben sich Berichten zufolge auf Unternehmen in Nordamerika, Großbritannien, Frankreich, Deutschland, Indien und Australien ausgewirkt. Die Konzentration von Bashe auf Industrienationen mit wertvollen Datenbeständen unterstreicht seinen globalen Ansatz zur Maximierung des Viktimisierungspotenzials.

Bildquelle: ransomware.live

Von Bashe anvisierte Branchen

Bashe scheint hochwertige Sektoren zu bevorzugen, darunter Technologie, Unternehmensdienstleistungen, Fertigung, Verbraucherdienstleistungen und Finanzdienstleistungen. Die Gruppe hat auch Transport, Logistik, Gesundheitswesen und Bauwesen im Visier. Durch die Fokussierung auf diese Branchen kann Bashe seinen Einfluss auf Lösegeldforderungen maximieren, indem er Sektoren anvisiert, in denen sensible oder wichtige Daten verarbeitet werden.

Von Bashe anvisierte Branchen

Bashe scheint hochwertige Sektoren zu bevorzugen, darunter Technologie, Unternehmensdienstleistungen, Fertigung, Verbraucherdienstleistungen und Finanzdienstleistungen. Die Gruppe hat auch Transport, Logistik, Gesundheitswesen und Bauwesen im Visier. Durch die Fokussierung auf diese Branchen kann Bashe seinen Einfluss auf Lösegeldforderungen maximieren, indem er Sektoren anvisiert, in denen sensible oder wichtige Daten verarbeitet werden.

Die Opfer von Bashe

Bashe hat bis jetzt etwa 35 Opfer gebrochen.

Angriffsmethode

Erster Zugang
Rechte-Eskalation
Verteidigung Umgehung
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Eine schattenhafte Gestalt, die ein weites Netz über eine digitale Landschaft mit verschiedenen Geräten wie Computern, Smartphones und Tablets auswirft. Das Netz symbolisiert die Versuche des Angreifers, Schwachstellen zu finden oder phishing Techniken zu verwenden, um unbefugten Zugang zu erhalten.
Erster Zugang
Eine digitale Leiter, die von einem einfachen Benutzersymbol zu einer Krone aufsteigt, die administrative Rechte symbolisiert. Dies steht für die Bemühungen des Angreifers, innerhalb des Systems Zugang zu höheren Ebenen zu erhalten.
Rechte-Eskalation
Ein Chamäleon, das sich in einen digitalen Hintergrund einfügt, mit Nullen und Einsen, die es umgeben. Dies steht für die Fähigkeit des Angreifers, sich der Entdeckung durch Sicherheitsmaßnahmen zu entziehen, indem er seine Taktik ändert, um sich in den normalen Netzwerkverkehr einzufügen.
Verteidigung Umgehung
Ein Dieb mit einem Dietrich-Toolkit, der an einem riesigen Schlüsselloch arbeitet, das wie ein Anmeldeformular geformt ist und die Bemühungen des Angreifers darstellt, Benutzerdaten zu stehlen, um unbefugten Zugang zu erhalten.
Zugang zu Anmeldeinformationen
Eine Lupe, die sich über eine digitale Karte eines Netzwerks bewegt und Dateien, Ordner und Netzwerkverbindungen hervorhebt. Dieses Bild stellt die Phase dar, in der Angreifer die Umgebung erkunden, um die Struktur zu verstehen und herauszufinden, wo sich wertvolle Daten befinden.
Entdeckung
Eine Reihe miteinander verbundener Knotenpunkte, zwischen denen sich eine schemenhafte Gestalt heimlich bewegt. Dies veranschaulicht die Bewegungen des Angreifers innerhalb des Netzes, der versucht, die Kontrolle über weitere Systeme zu erlangen oder malware zu verbreiten.
Seitliche Bewegung
Ein großer Staubsauger, der Dateien, Datensymbole und Ordner in einen Beutel aufsaugt, der von einer schemenhaften Gestalt gehalten wird. Dieses Bild symbolisiert den Prozess des Sammelns wertvoller Daten aus dem Zielnetzwerk.
Sammlung
Ein Eingabeaufforderungsfenster, das vor einem digitalen Hintergrund geöffnet ist und in das bösartiger Code eingegeben wird. Dies ist die Phase, in der die Angreifer ihre bösartige Nutzlast auf dem angegriffenen System ausführen.
Ausführung
Eine Reihe von Dateien, die über einen verdeckten Kanal von einem Computer zu einem mit einem Totenkopf gekennzeichneten cloud geleitet werden, was die unautorisierte Übertragung von Daten an einen vom Angreifer kontrollierten Ort symbolisiert.
Exfiltration
Ein zerbrochener Bildschirm mit einer digitalen Stadtlandschaft im Chaos dahinter symbolisiert die zerstörerischen Auswirkungen des Cyberangriffs, wie z. B. Dienstunterbrechungen, Datenvernichtung oder finanzielle Verluste.
Auswirkungen
MITRE ATT&CK Kartierung

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
No items found.
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Plattform-Detektionen

Wie erkennt man ransomware Angriffe mit Vectra AI

Während die Taktiken, Techniken und Verfahren (TTPs) von Bashe noch untersucht werden, können wir die wahrscheinlichen Aktivitäten anhand der Ähnlichkeiten zu LockBit einschätzen. Im Folgenden finden Sie eine Übersicht über die Vectra AI Erkennungen, die im Falle eines typischen ransomware Angriffs ausgelöst werden:

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Weitere Entdeckungen anzeigen
Bewerten Sie Ihr Angriffsrisiko

Häufig gestellte Fragen

Ist Ihr Unternehmen vor den Angriffen von Bashe sicher?

Bewerten Sie Ihr Angriffsrisiko