Die BlackCat-Ransomware-Bande, die als erste Ransomware in der Programmiersprache Rust entwickelt, hat seit März 2022 mindestens 60 Organisationen weltweit kompromittiert, so das Federal Bureau of Investigation (FBI) in einer neuen Warnung.
BlackCat, das auch unter dem Namen ALPHV bekannt ist, ist eine relativ neue Ransomware-as-a-Service-Bande, von der Sicherheitsforscher glauben, dass sie mit der etablierteren Ransomware-Bande BlackMatter (auch bekannt als Darkside) verwandt ist, die im vergangenen Mai den US-Kraftstoffhändler Colonial Pipeline angriff.
BlackCat tauchte im November 2021 auf und wurde von Kompromittierungsexperten oder „Access-Brokern“ entwickelt, die den Talos-Forschern von Cisco zufolge Zugang zu mehreren RaaS-Gruppen, einschließlich BlackMatter, verkauft haben.
Wie ZDNet im Februar berichtete, hat BlackCat seit Dezember mehrere prominente Unternehmen angegriffen, darunter den Schweizer Flughafenbetreiber Swissport und zwei deutsche Ölversorger.
Während sich ein Großteil der Bemühungen der Gruppe darauf konzentrierte, mehrere europäische Firmen mit kritischer Infrastruktur anzugreifen, stellt Cisco in einem Bericht vom März fest, dass mehr als 30 % der BlackCat-Angriffe auf US-Firmen zielten.
„Im März 2022 hatte BlackCat/ALPHV Ransomware as a Service (RaaS) mindestens 60 Unternehmen weltweit kompromittiert und ist die erste Ransomware-Gruppe, die erfolgreich Rust verwendet, eine Programmiersprache, die als sicherer gilt und eine verbesserte Leistung und zuverlässige gleichzeitige Verarbeitung bietet“, so das FBI in seiner Warnung, in der die BlackCAT/ALPHV-Indikatoren für eine Kompromittierung aufgeführt sind.
„Mit BlackCat verbundene Bedrohungsakteure fordern in der Regel Lösegeldzahlungen in Höhe von mehreren Millionen Dollar in Bitcoin und Monero, haben aber auch Lösegeldzahlungen akzeptiert, die unter dem ursprünglich geforderten Betrag liegen. Viele der Entwickler und Geldwäscher von BlackCat/ALPHV sind mit Darkside/BlackMatter verbunden, was darauf hindeutet, dass sie über umfangreiche Netzwerke und Erfahrungen mit Ransomware-Operationen verfügen“, heißt es weiter.
Die BlackCat-Bande verwendet zuvor kompromittierte Benutzeranmeldedaten, um sich zunächst Zugang zum System des Opfers zu verschaffen. Die Gruppe kompromittiert dann Microsoft Active Directory-Benutzer- und Administratorkonten und verwendet den Windows-Taskplaner, um Gruppenrichtlinienobjekte für die Bereitstellung der Ransomware zu konfigurieren.
BlackCat verwendet auch legitime Windows-Tools wie Microsoft Sysinternals und PowerShell-Skripte, um Sicherheitsfunktionen in Anti-Malware-Tools zu deaktivieren, Ransomware-Programme zu starten, auch in MySQL-Datenbanken, und Ransomware an andere Stellen im Netzwerk zu kopieren.
Die Gruppe praktiziert doppelte Erpressung, indem sie Daten stiehlt, bevor sie sie verschlüsselt, um den Opfern mit einem Leck zu drohen, falls sie die Lösegeldforderung nicht bezahlen.
Cisco erklärte, es sei unwahrscheinlich, dass die BlackCat-Bande oder ihre Partner eine Schwachstelle in Exchange nutzen. Forscher von Trend Micro fanden jedoch letzte Woche heraus, dass BlackCat während einer Untersuchung den Exchange-Bug CVE-2021-31207 ausgenutzt habe. Dies war einer der ProxyShell-Exchange-Bugs, die Mitte 2021 entdeckt wurden.
BlackCat verfügt über Versionen, die unter Windows und Linux sowie in der ESXi-Umgebung von VMware funktionieren, so Trend Micro.
„Bei diesem Vorfall haben wir die Ausnutzung von CVE-2021-31207 festgestellt. Diese Schwachstelle missbraucht den PowerShell-Befehl New-MailboxExportRequest, um das Benutzerpostfach an einen beliebigen Dateispeicherort zu exportieren, der zum Schreiben einer Web-Shell auf dem Exchange Server verwendet werden kann“, so das Unternehmen.
Das FBI bittet die Öffentlichkeit um Informationen über BlackCat-Kompromittierungen. Es möchte „alle Informationen, die weitergegeben werden können, einschließlich IP-Protokolle, die Rückrufe von ausländischen IP-Adressen zeigen, Bitcoin- oder Monero-Adressen und Transaktions-IDs, Kommunikation mit den Bedrohungsakteuren, die Entschlüsselungsdatei und/oder ein gutartiges Beispiel einer verschlüsselten Datei.“
Da der Windows Task Scheduler häufig von Angreifern genutzt wird, um bösartige Aktivitäten in scheinbar normalen Verwaltungsaufgaben zu verstecken, empfiehlt das FBI Unternehmen, den Task Scheduler auf nicht erkannte geplante Aufgaben zu überprüfen sowie Domänencontroller, Server, Workstations und aktive Verzeichnisse auf neue oder nicht erkannte Benutzerkonten zu kontrollieren.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.