FBI warnt vor BlackCat-Ransomware

Die BlackCat-Ransomware-Bande, die als erste Ransomware in der Programmiersprache Rust entwickelt, hat seit März 2022 mindestens 60 Organisationen weltweit kompromittiert, so das Federal Bureau of Investigation (FBI) in einer neuen Warnung.

BlackCat, das auch unter dem Namen ALPHV bekannt ist, ist eine relativ neue Ransomware-as-a-Service-Bande, von der Sicherheitsforscher glauben, dass sie mit der etablierteren Ransomware-Bande BlackMatter (auch bekannt als Darkside) verwandt ist, die im vergangenen Mai den US-Kraftstoffhändler Colonial Pipeline angriff.

BlackCat tauchte im November 2021 auf und wurde von Kompromittierungsexperten oder „Access-Brokern“ entwickelt, die den Talos-Forschern von Cisco zufolge Zugang zu mehreren RaaS-Gruppen, einschließlich BlackMatter, verkauft haben.

Wie ZDNet im Februar berichtete, hat BlackCat seit Dezember mehrere prominente Unternehmen angegriffen, darunter den Schweizer Flughafenbetreiber Swissport und zwei deutsche Ölversorger.

Während sich ein Großteil der Bemühungen der Gruppe darauf konzentrierte, mehrere europäische Firmen mit kritischer Infrastruktur anzugreifen, stellt Cisco in einem Bericht vom März fest, dass mehr als 30 % der BlackCat-Angriffe auf US-Firmen zielten.

„Im März 2022 hatte BlackCat/ALPHV Ransomware as a Service (RaaS) mindestens 60 Unternehmen weltweit kompromittiert und ist die erste Ransomware-Gruppe, die erfolgreich Rust verwendet, eine Programmiersprache, die als sicherer gilt und eine verbesserte Leistung und zuverlässige gleichzeitige Verarbeitung bietet“, so das FBI in seiner Warnung, in der die BlackCAT/ALPHV-Indikatoren für eine Kompromittierung aufgeführt sind.

„Mit BlackCat verbundene Bedrohungsakteure fordern in der Regel Lösegeldzahlungen in Höhe von mehreren Millionen Dollar in Bitcoin und Monero, haben aber auch Lösegeldzahlungen akzeptiert, die unter dem ursprünglich geforderten Betrag liegen. Viele der Entwickler und Geldwäscher von BlackCat/ALPHV sind mit Darkside/BlackMatter verbunden, was darauf hindeutet, dass sie über umfangreiche Netzwerke und Erfahrungen mit Ransomware-Operationen verfügen“, heißt es weiter.

Die BlackCat-Bande verwendet zuvor kompromittierte Benutzeranmeldedaten, um sich zunächst Zugang zum System des Opfers zu verschaffen. Die Gruppe kompromittiert dann Microsoft Active Directory-Benutzer- und Administratorkonten und verwendet den Windows-Taskplaner, um Gruppenrichtlinienobjekte für die Bereitstellung der Ransomware zu konfigurieren.

BlackCat verwendet auch legitime Windows-Tools wie Microsoft Sysinternals und PowerShell-Skripte, um Sicherheitsfunktionen in Anti-Malware-Tools zu deaktivieren, Ransomware-Programme zu starten, auch in MySQL-Datenbanken, und Ransomware an andere Stellen im Netzwerk zu kopieren.

Die Gruppe praktiziert doppelte Erpressung, indem sie Daten stiehlt, bevor sie sie verschlüsselt, um den Opfern mit einem Leck zu drohen, falls sie die Lösegeldforderung nicht bezahlen.

Cisco erklärte, es sei unwahrscheinlich, dass die BlackCat-Bande oder ihre Partner eine Schwachstelle in Exchange nutzen. Forscher von Trend Micro fanden jedoch letzte Woche heraus, dass BlackCat während einer Untersuchung den Exchange-Bug CVE-2021-31207 ausgenutzt habe. Dies war einer der ProxyShell-Exchange-Bugs, die Mitte 2021 entdeckt wurden.

BlackCat verfügt über Versionen, die unter Windows und Linux sowie in der ESXi-Umgebung von VMware funktionieren, so Trend Micro.

„Bei diesem Vorfall haben wir die Ausnutzung von CVE-2021-31207 festgestellt. Diese Schwachstelle missbraucht den PowerShell-Befehl New-MailboxExportRequest, um das Benutzerpostfach an einen beliebigen Dateispeicherort zu exportieren, der zum Schreiben einer Web-Shell auf dem Exchange Server verwendet werden kann“, so das Unternehmen.

Das FBI bittet die Öffentlichkeit um Informationen über BlackCat-Kompromittierungen. Es möchte „alle Informationen, die weitergegeben werden können, einschließlich IP-Protokolle, die Rückrufe von ausländischen IP-Adressen zeigen, Bitcoin- oder Monero-Adressen und Transaktions-IDs, Kommunikation mit den Bedrohungsakteuren, die Entschlüsselungsdatei und/oder ein gutartiges Beispiel einer verschlüsselten Datei.“

Da der Windows Task Scheduler häufig von Angreifern genutzt wird, um bösartige Aktivitäten in scheinbar normalen Verwaltungsaufgaben zu verstecken, empfiehlt das FBI Unternehmen, den Task Scheduler auf nicht erkannte geplante Aufgaben zu überprüfen sowie Domänencontroller, Server, Workstations und aktive Verzeichnisse auf neue oder nicht erkannte Benutzerkonten zu kontrollieren.

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Stunde ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

5 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

6 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

6 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

7 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

9 Stunden ago