Hackerangriffe auf Unternehmen gehören fast schon zum betrieblichen Alltag. Umso wichtiger ist guter Schutz. Mit Black Basta ist nun eine neue Ransomware auf dem Vormarsch, die gleich zwei Erpressungstechniken anwendet.
Was Black Basta so gefährlich macht und wie Sie sich und Ihre Firma davor schützen, erfahren Sie bei uns.
Unser Beitrag über Black Basta im Überblick:
Black Basta: Ramsomware als Service
Zunächst einmal ist es wichtig zu wissen, dass Black Basta kein klassischer Erpressertrojaner ist. Stattdessen wird er als Ransomware-as-a-Service verteilt. Und das bedeutet, dass es die Erpressersoftware als Dienstleistung aus dem Darknet gibt. Jeder, der dort verkehrt, kann die Ransomware bei der gleichnamigen Ransomware-Gruppe Black Basta mieten.
Vorteile hat das sowohl für den Entwickler der Erpressersoftware, der einen vorher vereinbarten Anteil der Lösegeldforderung kassiert, aber für den Angriff nicht verantwortlich ist, und für den Angreifer selbst, da er keine Ahnung von IT haben muss, aber dennoch Geld abgreifen kann. Und somit ist Black Basta richtig gefährlich.
Noch gefährlicher wird es, wenn man weiß, dass die Schadsoftware gleich zwei Wege der Erpressung nutzt. Üblicherweise handelt Schadsoftware nur in eine Richtung: Entweder werden die Daten verschlüsselt und (hoffentlich) gegen die Zahlung eines Lösegelds wieder frei gegeben oder die erbeuteten Daten werden im Darknet veröffentlicht und dienen anderen Kriminellen für ihre Missetaten. Black Basta tut leider beides.
Die Ransomware Black Basta kommt als Servicedienstleistung aus dem Darknet daher. Sie ist hochgefährlich. Bild: ©Bits and Splits/stock.adobe.com
Zahlreiche Opfer in wenigen Monaten
Das Netzwerk-Analyse-Team Unit 42 von Palo Alto Networks berichtet, dass die Ransomware erstmals im April dieses Jahres aufgetaucht ist. Seitdem ist die Schadsoftware auf dem Vormarsch. Die Hintermänner betreiben nicht nur einen Markplatz für Cyberkriminalität, sondern auch einen Blog, in dem sie ihre Erfolge veröffentlichen. Zu lesen sind dort etwa Namen der Opfer und alle veröffentlichten Daten.
Und obwohl die Ransomware Black Basta gerade mal fünf Monate aktiv ist, gibt es laut der Leak-Seite bereits 75 Unternehmen und Institutionen, die zum Opfer geworden sind. Ihren Opfern drohen sie nicht nur damit, sensible Informationen zu veröffentlichen, sollte das geforderte Lösegeld nicht gezahlt werden, sondern sie verschlüsseln im ersten Schritt Dateien auf den Systemen der Angriffsziele. Für die Entschlüsselung fordern sie dann Lösegeld – mit den genannten Folgen, sollten die Opfer es nicht zahlen.
Black Basta: gefährlich für Windows und Linux
Die Ransomware ist in der Programmiersprache C++ geschrieben. Die Folge: Black Basta kann sowohl Windows– als auch Linux-Rechner attackieren. Die Schadsoftware verschlüsselt, sobald sie auf dem Rechner ist, die Daten der Nutzer mit einer Kombination aus ChaCha20 und RSA-4096.
Besonders fies: Die Ransomware verschlüsselt die Daten in Abschnitten von 64 Byte. Dabei lässt sie Abschnitte in 128 Byte unverschlüsselt, um den Verschlüsselungsprozess zu beschleunigen. Ziel ist es, möglichst viele Systeme zu kompromittieren, bevor die Verteidigungsmaßnahmen vom angegriffenen Netzwerk ausgelöst werden. Dateien, die die Ransomware verschlüsselt hat, bekommen die Dateiendung .basta.
Um sich in den kompromittierten Netzwerken zu bewegen, nutzt Black Basta einen Windows-Malware-Stamm, der als Malware-Trojaner begann und gleich mehrere Namen hat. Er ist unter den Namen QuakBot, QBot, QuackBot und PinkslipBot bekannt geworden.
Die Ransomware wird, so vermuten es die Forscher, auch weiterhin aktiv bleiben, sich weiterentwickeln und zahlreiche Opfer finden. Bild: zephyr_p/stock.adobe.com
Ransomware wird aktiv bleiben
Die Forscher von Palo Alto Networks gehen davon aus, dass die Betreiber hinter der Ransomware Black Basta aktiv bleiben und Betriebe und Unternehmen weiterhin angreifen werden. Zudem vermuten die Forscher, dass die Gruppe, die für die Ransomware verantwortlich ist, ehemalige Mitglieder der Conti-Gruppe umfassen. Der Grund liegt auf der Hand: Taktiken, Techniken und Verfahren ähneln sich sehr. Auch die Geschwindigkeit, mit der Opfer gesammelt werden, spricht für die Neuauflage einer früheren Ransomware-Gruppe.
Festzuhalten ist: Ransomware ist und bleibt eine ernsthafte Bedrohung für Unternehmen. Wie Sie Ihre Firma vor Angriffen schützen können, erfahren Sie in unseren Blogbeitrag Ransomware und KMUs. Wichtig ist, dass Sie Ihr IT-Sicherheitskonzept immer den Gegebenheiten anpassen – am besten in Zusammenarbeit mit einem IT-Experten wie PC-SPEZIALIST. Er steht Ihnen unterstützend zur Seite und bietet beispielsweise mit dem IT-Basisschutz eine grundlegenden IT-Infrastruktur und deren Sicherheit an.
Gerade Geräte, die mit dem Internet verbunden sind, benötigen zuverlässige Sicherheitslösungen. PC-SPEZIALIST vor Ort ist Ihr geeigneter Ansprechpartner, wenn Sie Lösungen – wie beispielsweise eine Backup-Strategie – für Ihre betriebliche Sicherheit benötigen. Zögern Sie nicht, zu uns den Kontakt aufzunehmen und warten Sie vor allem nicht, bis Sie Opfer von Black Basta geworden sind!
_______________________________________________
Andere Stimmen zum Thema: Paloaltonetworks, ZDNet, IT-daily, Datensicherheit
Schreiben Sie einen Kommentar