Conti-Nachfolger?: Spekulationen um Ransomware-Gruppe Black Basta

Foto: PR Image Factory – shutterstock.com

Ende April wurde Sixt Opfer eines Cyberangriffs. Obwohl der Autovermiter den Angriff nach eigenen Angaben frühzeitig eindämmen konnte, waren die Services eingeschränkt. Nun sind dem Spiegel zufolge doch Kundendaten in die Hände Dritter gelangt. Knapp zwei Wochen nach der Attacke stand in Marktoberdorf auch die Produktion des Traktorenherstellers Fendt still. Deutsche Ermittler sollen für beide Vorfälle die neue Ransomware-Gruppe Black Basta im Visier haben.

Wie das Malware Hunter Team auf Twitter mitteilte, sei auch die Deutsche Windtechnik AG auf der Leak-Seite von Black Basta aufgetaucht. Der Cyberangriff auf den Betreiber von Windenergieanlagen geschah in der Nacht vom 11. auf den 12. April.

Black Basta verschlüsselt Daten

Das Sicherheitsunternehmen Cyble hat die Aktivitäten von Black Basta genauer unter die Lupe genommen. Seit April 2022 sei die Gruppe aktiv und habe mittlerweile 18 Unternehmen angegriffen, wobei die meisten davon in den USA ansässig seien. Den Analysen zufolge scheint Black Basta in erster Linien auf die Bau- und Fertigungsindustrie abzuzielen.

Laut Cyble ist die Ransomware der Hackergruppe eine konsolenbasierte ausführbare Datei und kann nur mit Administratorrechten ausgeführt werden. Nach der Ausführung lösche das Schadprogramm Schattenkopien aus dem infizierten System mit dem Befehl “vssadmin.exe”. Diese Aktion entferne die Windows-Sicherung, damit die Opfer das System nach der Verschlüsselung nicht mehr in seinen ursprünglichen Zustand zurücksetzen können. Im Anschluss wird auf dem Desktop-Hintergrund eine Lösegeldforderung angezeigt.

Black Basta als Nachfolger von Conti?

Die Verschlüsselung von Daten, um Lösegelder für diese zu erpressen, ist eine gängige Cybercrime-Praktik. Es sind die Ähnlichkeiten der Angriffstaktiken, welche die Security-Branche spekulieren lassen, ob Black Basta ein Nachfolger der Ransomware-Gruppe Conti ist.

Ähnlich seien die Leak-Seiten sowie die Webseiten, über die Opfer die Lösegelder bezahlen sollen. Zudem sei die Art und Weise, wie Black Basta spricht und handelt, dem Stil von Conti sehr ähnlich, wie Blackberry in einem Blog schreibt.

Merkwürdig scheint dem Hersteller jedoch die Tatsache, dass Conti nach wie vor aktiv ist, was an einer Verbindung der beiden Gruppen zweifeln lässt. Blackberry berichtet von Internetbeiträgen eines Conti-Mitgliedes, welche besagen, dass trotz des Daten-Leaks der Ransomware-Gruppe neue Operationen im Gange seien.

Eine andere Theorie haben die Sicherheitsforscher von Trend Micro, die Ähnlichkeiten mit der Hackergruppe Blackt Matter feststellten. Wie Black Matter implementiere auch Black Basta eine Benutzerverifizierung auf ihrer Tor-Website. Weitere Zusammenhänge fanden die Experten zu der Malware “Qakbot”.

Schutz vor der Black Basta Ransomware

Unabhängig davon, wer hinter der Ransomware steckt, sollten CISOs nun Sicherheitsmaßnahmen ergreifen. Cyble gibt online einige Tipps, wie sich Unternehmen vor Ransomware schützen können:

• sichere Kennwörter verwenden und nach Möglichkeit die mehrstufige Authentifizierung erzwingen;

• die automatische Softwareaktualisierung auf allen Geärten aktivieren;

• Antiviren-Lösungen auf allen Geräten verwenden;

• keine verdächtigen und nicht vertrauenswürdigen Links und E-Mail-Anhänge öffnen, erst ihre Authentizität prüfen;

• Mitarbeiter schulen;

• URLs blockieren, die die Malware verbreiten könnten, zum Beispiel Torren oder Warez;

• den Beacon auf Netzwerkebene überwachen, um die Datenexfiltration durch Malware zu blockieren;

• Data-Loss-Prevention-Lösungen auf allen Systemen aktivieren.

Lesetipp: Ist REvil zurück?

Black Basta verschlüsselt Daten

Foto: Cyble

Die meisten Opfer der Hackergruppe Black Basta sind in den USA ansässig.

Foto: Cyble

Mit ihrer Ransomware hat es die Erpressergruppe vor allem auf die Bau- und Fertigungsindustrie abgesehen.

Foto: Cyble

Die Ransomware kann nur mit Administratorrechten ausgeführt werden.

Foto: Cyble

Die Ransomware löscht Schattenkopien sowie die Windows-Sicherung. Das verhindert, das Nutzer ihre Systeme nach der Verschlüsselung wiederherstellen können.

Foto: Cyble

Die Ransomware legt zwei Bilddateien in den temporären Ordner des infizierten Systems ab.

Foto: Cyble

Black Basta ändert den Desktop-Hintergrund ihrer Opfer mithilfe der API “SystemparametersinfoW()”, um dort später die Lösegeldforderung anzuzeigen. Dafür verwendet die Ransomware die Datei “dlaksjdoiwq.jpg”.

Foto: Cyble

Eine zweite Datei namens “fkdjsadasd.ico”, wird als Dateisymbol für verschlüsselte Dateien mit der Erweiterung “.basta” verwendet. Black Basta erstellt dafür einen Registry-Schlüssel.

Foto: Cyble

Nach dem Erstellen des Registrierungseintrags erstellt Black Basta einen gefälschten, bösartigen Dienst mit dem Namen “FAX”.

Foto: Cyble

Links sehen Sie den gefälschten Fax-Dienst und rechts den echten.

Foto: Cyble

Die Ransomware überprüft die Boot-Optionen mithilfe der “GetSystemMetrics()”-API und fügt den Eintrag “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Fax” in der Registrierung hinzu, um den Fax-Dienst im abgesicherten Modus zu starten. Danach richtet die Black-Basta-Ransomware das Betriebssystem so ein, dass es mit dem Befehl “bcedit.exe” im abgesicherten Modus startet.

Foto: Cyble

Nach dem Neustart beginnt der falsche Fax-Dienst mit der Verschlüsselung der Daten. Dafü nutzt sie die API “FindFirstVolumeW()”.

Foto: Cyble

Diese Lösegeldforderung wird den Opfern von Black Basta angezeigt.

Foto: Cyble

Nach diesen Vorgängen startet Black Basta die Ransomware im normalen Modus neu.