Die BlackCat-Ransomware-Bande, die als erste Ransomware in der Programmiersprache Rust entwickelt, hat seit März 2022 mindestens 60 Organisationen weltweit kompromittiert, so das Federal Bureau of Investigation (FBI) in einer neuen Warnung.
BlackCat, das auch unter dem Namen ALPHV bekannt ist, ist eine relativ neue Ransomware-as-a-Service-Bande, von der Sicherheitsforscher glauben, dass sie mit der etablierteren Ransomware-Bande BlackMatter (auch bekannt als Darkside) verwandt ist, die im vergangenen Mai den US-Kraftstoffhändler Colonial Pipeline angriff.
BlackCat tauchte im November 2021 auf und wurde von Kompromittierungsexperten oder „Access-Brokern“ entwickelt, die den Talos-Forschern von Cisco zufolge Zugang zu mehreren RaaS-Gruppen, einschließlich BlackMatter, verkauft haben.
Wie ZDNet im Februar berichtete, hat BlackCat seit Dezember mehrere prominente Unternehmen angegriffen, darunter den Schweizer Flughafenbetreiber Swissport und zwei deutsche Ölversorger.
Während sich ein Großteil der Bemühungen der Gruppe darauf konzentrierte, mehrere europäische Firmen mit kritischer Infrastruktur anzugreifen, stellt Cisco in einem Bericht vom März fest, dass mehr als 30 % der BlackCat-Angriffe auf US-Firmen zielten.
„Im März 2022 hatte BlackCat/ALPHV Ransomware as a Service (RaaS) mindestens 60 Unternehmen weltweit kompromittiert und ist die erste Ransomware-Gruppe, die erfolgreich Rust verwendet, eine Programmiersprache, die als sicherer gilt und eine verbesserte Leistung und zuverlässige gleichzeitige Verarbeitung bietet“, so das FBI in seiner Warnung, in der die BlackCAT/ALPHV-Indikatoren für eine Kompromittierung aufgeführt sind.
„Mit BlackCat verbundene Bedrohungsakteure fordern in der Regel Lösegeldzahlungen in Höhe von mehreren Millionen Dollar in Bitcoin und Monero, haben aber auch Lösegeldzahlungen akzeptiert, die unter dem ursprünglich geforderten Betrag liegen. Viele der Entwickler und Geldwäscher von BlackCat/ALPHV sind mit Darkside/BlackMatter verbunden, was darauf hindeutet, dass sie über umfangreiche Netzwerke und Erfahrungen mit Ransomware-Operationen verfügen“, heißt es weiter.
Die BlackCat-Bande verwendet zuvor kompromittierte Benutzeranmeldedaten, um sich zunächst Zugang zum System des Opfers zu verschaffen. Die Gruppe kompromittiert dann Microsoft Active Directory-Benutzer- und Administratorkonten und verwendet den Windows-Taskplaner, um Gruppenrichtlinienobjekte für die Bereitstellung der Ransomware zu konfigurieren.
BlackCat verwendet auch legitime Windows-Tools wie Microsoft Sysinternals und PowerShell-Skripte, um Sicherheitsfunktionen in Anti-Malware-Tools zu deaktivieren, Ransomware-Programme zu starten, auch in MySQL-Datenbanken, und Ransomware an andere Stellen im Netzwerk zu kopieren.
Die Gruppe praktiziert doppelte Erpressung, indem sie Daten stiehlt, bevor sie sie verschlüsselt, um den Opfern mit einem Leck zu drohen, falls sie die Lösegeldforderung nicht bezahlen.
Cisco erklärte, es sei unwahrscheinlich, dass die BlackCat-Bande oder ihre Partner eine Schwachstelle in Exchange nutzen. Forscher von Trend Micro fanden jedoch letzte Woche heraus, dass BlackCat während einer Untersuchung den Exchange-Bug CVE-2021-31207 ausgenutzt habe. Dies war einer der ProxyShell-Exchange-Bugs, die Mitte 2021 entdeckt wurden.
BlackCat verfügt über Versionen, die unter Windows und Linux sowie in der ESXi-Umgebung von VMware funktionieren, so Trend Micro.
„Bei diesem Vorfall haben wir die Ausnutzung von CVE-2021-31207 festgestellt. Diese Schwachstelle missbraucht den PowerShell-Befehl New-MailboxExportRequest, um das Benutzerpostfach an einen beliebigen Dateispeicherort zu exportieren, der zum Schreiben einer Web-Shell auf dem Exchange Server verwendet werden kann“, so das Unternehmen.
Das FBI bittet die Öffentlichkeit um Informationen über BlackCat-Kompromittierungen. Es möchte „alle Informationen, die weitergegeben werden können, einschließlich IP-Protokolle, die Rückrufe von ausländischen IP-Adressen zeigen, Bitcoin- oder Monero-Adressen und Transaktions-IDs, Kommunikation mit den Bedrohungsakteuren, die Entschlüsselungsdatei und/oder ein gutartiges Beispiel einer verschlüsselten Datei.“
Da der Windows Task Scheduler häufig von Angreifern genutzt wird, um bösartige Aktivitäten in scheinbar normalen Verwaltungsaufgaben zu verstecken, empfiehlt das FBI Unternehmen, den Task Scheduler auf nicht erkannte geplante Aufgaben zu überprüfen sowie Domänencontroller, Server, Workstations und aktive Verzeichnisse auf neue oder nicht erkannte Benutzerkonten zu kontrollieren.
Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…
LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…
Neuer Datendurchsatz-Rekord an Europas größtem Internetknoten parallel zum Champions-League-Viertelfinale.
Die neuen Chips bieten bis zu 25 Prozent mehr Leistung. Samsung steigert auch die Energieeffizienz…
Betroffen sind Lösungen von Cisco, Fortinet, SonicWall und anderen Anbietern. Die Hacker nehmen Konten mit…
Immer häufiger müssen sich Betriebe gegen Online-Gefahren wehren. Vor allem in KMUs werden oft noch…