Ein kürzliches Datenleck hat die internen Chat-Protokolle der Ransomware-Gruppe Black-Basta offengelegt und zeigt alarmierende Sicherheitslücken in Unternehmensnetzwerken auf. Die geleakten Informationen bieten seltene Einblicke in die Angriffstaktiken der Gruppe und verdeutlichen gravierende Schwachstellen, die von Cyberkriminellen gezielt ausgenutzt werden.
Zielgerichtete Angriffe auf bekannte Schwachstellen und Fehlkonfigurationen
Black-Basta nutzt systematisch ungeschützte RDP-Server, schwache Authentifizierungsmechanismen sowie öffentlich bekannte Schwachstellen (CVEs), um in Systeme einzudringen. Besonders kritisch ist der Einsatz von Malware-Droppern, die als harmlose Dateien getarnt sind, sowie das Scannen nach ungeschützten VPN-Diensten. Ein weiteres Hauptziel der Gruppe sind Fehlkonfigurationen in gängigen Unternehmensanwendungen wie Jenkins CI/CD, VMware-ESXi und Citrix-Gateways.
Gefährdung durch langsame Reaktion und unzureichendes Patch-Management
Die Analyse zeigt, dass Black-Basta bekannte Schwachstellen aggressiv ausnutzt, wenn Systeme nicht zeitnah gepatcht werden. Die Hackergruppe kann innerhalb weniger Stunden eine komplette Netzwerkkompromittierung erreichen. Dadurch bleibt Unternehmen kaum Zeit zur Reaktion, was das Risiko von Datenverlust und Erpressung erheblich erhöht.
Erpressung und raffinierte Angriffsstrategien
Neben technischen Schwachstellen setzt Black-Basta auf Social-Engineering und Voice-Phishing, um an Anmeldedaten zu gelangen. Mitglieder der Gruppe geben sich als IT-Support aus, um Mitarbeiter zur Preisgabe sensibler Informationen zu verleiten. Darüber hinaus werden legitime Filesharing-Plattformen missbraucht, um bösartige Nutzlasten unauffällig zu verteilen.
Das anfängliche Zugriffsproblem
Black-Basta verfolgt einen mehrschichtigen Ansatz, der den Diebstahl von Anmeldedaten, die Ausnutzung von Diensten (z. B. RDP-Brute-Force), Social-Engineering und Hartnäckigkeit umfasst. Sie beschaffen sich Anmeldedaten durch Phishing, Kompromittierung der Lieferkette, Einkäufe im Darknet und durch das Auffinden exponierter Dienste mithilfe von Tools wie Shodan oder Fofa (automatisierte Scanner), gefolgt von Brute-Force-Angriffen auf zugängliche Anmeldeportale (z. B. RDP). Interne Mitteilungen bestätigen mehrere Taktiken, um einen ersten Fuß in die Tür zu bekommen. Dieser mehrstufige Ansatz umfasst:
- Ausnutzung exponierter Dienste und Fehlkonfigurationen: Sie suchen aggressiv nach Schwachstellen mit Internetverbindung, insbesondere in Jenkins CI/CD-Instanzen, VMware-ESXi-Hosts, Citrix-Gateways und VPNs mit schwachen Anmeldedaten.
- Missbrauch von Drittanbieterdiensten für das Hosting von Nutzlasten: Um nicht entdeckt zu werden, nutzen sie legitime Filesharing-Plattformen wie transfer.sh, temp.sh und send.vis.ee für das Hosting bösartiger Nutzlasten, wodurch der Bedarf an einer maßgeschneiderten Infrastruktur reduziert wird.
- Datenextraktion, Social-Engineering und Voice Phishing: Vor dem Einsatz von Ransomware archivieren und extrahieren sie ganze Dateiverzeichnisse. In internen Chats wird erwähnt, dass sie auf Rechts- und Finanzdokumente abzielen und ein maßgeschneidertes Tool zur Automatisierung der Datenextraktion verwenden. Über E-Mail-Phishing hinaus geben sich Mitglieder von Black Basta per Telefonanruf als IT-Supportmitarbeiter aus und bringen Mitarbeiter dazu, ihre Anmeldedaten preiszugeben.
Angreifer sind schnell
Ransomware-Gruppen lassen sich nicht mehr viel Zeit, sobald sie in das Netzwerk eines Unternehmens eingedrungen sind. Die durchgesickerte Daten von Black-Basta zeigen, dass sie innerhalb von Stunden – manchmal sogar Minuten – vom ersten Zugriff zur netzwerkweiten Kompromittierung übergehen.
Ransomware-Betreiber beschleunigen ihre Angriffe und lassen Organisationen nur wenig Zeit, um zu reagieren. Um weitreichende Schäden zu verhindern, ist es wichtig, bekannte ausgenutzte Schwachstellen proaktiv zu erkennen und die Angriffsfläche zu minimieren. Je länger Sie warten, desto wahrscheinlicher ist es, dass Angreifer Daten exfiltrieren und die entsprechende Umgebung sperren. In vielen Fällen führen automatisierte Skripte nach der Ausnutzung Aufgaben aus, wie das Abgreifen von Anmeldedaten, das Deaktivieren von Sicherheitstools und das Bereitstellen von Ransomware.
Wie Qualys helfen kann
Die jüngste Veröffentlichung der internen Chat-Protokolle der Ransomware-Gruppe Black-Basta hat beispiellose Einblicke in ihre Arbeitsweise, Tools und Taktiken ermöglicht. Die Produktpalette von Qualys entspricht perfekt den von uns hervorgehobenen kritischen Empfehlungen und bietet einen einheitlichen Ansatz für Cybersicherheit.
Die Lösung „CyberSecurity Asset Management (CSAM)“ bietet vollständige Transparenz der Assets, was der erforderlichen umfassenden Asset-Erkennung entspricht. Qualys-Patch-Management bietet eine fortschrittliche automatisierte Lösung für zeitnahe Software-Updates. Qualys-VMDR optimiert die Erkennung, Bewertung und Priorisierung von Schwachstellen. Mit der Trurisk-Bewertung hebt die Plattform das Schwachstellenmanagement auf die nächste Stufe, indem sie eine risikobasierte Priorisierung einführt, die zu effektiveren Cybersicherheitsmaßnahmen führt.
Die Lösungen sind darauf ausgelegt, die von Black-Basta angewandten Taktiken, Techniken und Verfahren (TTPs) zu erkennen und zu entschärfen. Dazu gehören aus den geleakten Protokollen abgeleitete Kompromittierungsindikatoren (IOCs) und Angriffsindikatoren (IOAs), wie IP-Adressen, Domains und Malware-Hashes, die von der Gruppe verwendet werden. Unser spezialisiertes Bedrohungsforschungsteam analysiert aktiv neu aufkommende Daten, einschließlich der geleakten Black-Basta-Protokolle. So können wir neuartige IOCs identifizieren und unsere Erkennungsmechanismen in Echtzeit anpassen. So wurden beispielsweise Details aus den Protokollen über Schwachstellen, die in Produkten von Citrix, Ivanti und Fortinet ausgenutzt wurden, in unsere Erkennungsmechanismen integriert. Mithilfe unserer proprietären KI-Modelle suchen wir kontinuierlich im gesamten Web nach glaubwürdigen und aktuellen Bedrohungsinformationen. Diese Modelle erstellen automatisch eine Erkennungslogik für neu auftretende Bedrohungen wie die Aktivitäten von Black Basta.
VMDR-QQL für Black-Basta
Die Qualys-Query-Language (QQL) ist ein leistungsstarkes Suchwerkzeug innerhalb von VMDR (Vulnerability Management, Detection, and Response), das Sicherheitsteams dabei unterstützt, Schwachstellen schnell zu identifizieren und zu priorisieren. Mit QQL for Black-Basta können Sie die entsprechende Umgebung sofort abfragen, um Assets zu erkennen, die durch Ransomware-CVEs, Fehlkonfigurationen und Sicherheitslücken gefährdet sind. Dies ermöglicht eine schnellere Behebung und risikobasierte Priorisierung und hilft Unternehmen, den Bedrohungen wie Black-Basta immer einen Schritt voraus zu sein.
#Qualys
