Ransomware
BlackCat Ransomware unter der Lupe
BlackCat Ransomware ist für seine unkonventionellen Methoden und fortschrittlichen Erpressungstechniken bekannt. Wir haben die Aktivitäten der RaaS-Gruppe untersucht und zeigen, wie Unternehmen ihren Schutz vor dieser Ransomware verbessern können.
BlackCat (auch bekannt als AlphaVM, AlphaV oder ALPHV) wurde erstmals Mitte November 2021 von Forschern des MalwareHunterTeams entdeckt und erlangte schnell Aufmerksamkeit, da es sich um die erste große professionelle Ransomware-Familie handelte, die in Rust geschrieben wurde. Dies ist eine plattformübergreifende Sprache, die es ermöglicht, Malware einfach an verschiedene Betriebssysteme wie Windows und Linux anzupassen.
Die Gruppe machte seither häufig Schlagzeilen durch häufige Angriffe auf hochrangige Ziele und den Einsatz von dreifacher Erpressung, was den Kriminellen einen deutlichen Wettbewerbsvorteil gegenüber anderen RaaS-Betreibern verschaffte. Dreifache Erpressung bedeutet, dass nicht nur exfiltrierte Daten preisgegeben werden, sondern dass die Täter auch mit DDoS-Angriffen (Distributed Denial of Service) auf die Infrastruktur ihrer Opfer drohen, um diese zur Zahlung des Lösegelds zu zwingen.
Einem Advisory des FBIs vom April 2022 zufolge gab es Verbindungen mehrerer Entwickler und Geldwäscher von BlackCat zu zwei mittlerweile nicht mehr existierenden RaaS-Gruppen – DarkSide and BlackMatter. Man kann also davon ausgehen, dass sie auf etablierte Netzwerke und umfangreiche Erfahrungen im RaaS-Geschäft zurückgreifen.
Da BlackCat nun als erhebliche Bedrohung gilt, müssen sich Unternehmen mit den Taktiken, Techniken und Verfahren (TTPs) vertraut machen, die die Organisation anwendet. Das sich ständig weiterentwickelnde Malware-Arsenal der Ransomware, seine wachsende Partnerbasis und seine Verbindungen zu Untergrundnetzwerken ermöglichen es der Gruppe, sich einen größeren Anteil am RaaS-Markt zu sichern.
Hintergrundwissen zu BlackCat
Es gibt mehrere Gründe für die steigende Popularität und die steigende Bedeutung der Gruppe im kriminellen Untergrund verantwortlich:
- BlackCat hat seine Leak Site öffentlich gemacht, und somit sind auch die gestohlenen Informationen seiner Opfer durchsuchbar und zugänglich. Leak Sites werden üblicherweise auf Tor-Sites gehostet, die die Sichtbarkeit der Informationen für Opfer, Bedrohungsforscher und andere Cyberkriminelle einschränken. Die öffentliche Leak Site von BlackCat macht die gestohlenen Informationen für jedermann zugänglich und erhöht so den Druck auf die Opfer, auf die Forderungen der Angreifer einzugehen.
- BlackCat bietet seinen Partnern hohe Beteiligungen, die bis zu 90 % des gezahlten Lösegelds ausmachen können. Um den eigenen Einfluss in einem hart umkämpften Bereich schnell auszubauen, lassen sich die aggressiven Bemühungen von BlackCat, neue Partner zu rekrutieren, als eine Meisterleistung in dieser Hinsicht bezeichnen. Darüber hinaus, haben Bedrohungsforscher festgestellt, dass die Gruppe Anzeigen in Untergrundforen wie dem Ransomware Anonymous Market Place (RAMP) und anderen russischsprachigen Hacking-Foren veröffentlicht hat, um Partner zum Beitritt in ihr Netzwerk zu bewegen.
- Die Kriminellen verwenden einen privaten Zugangsschlüssel-Token, um den Zugang externer Parteien zur Verhandlungs-Site der Gruppe zu einzuschränken. Die BlackCat-Betreiber stellen die privaten Zugangsschlüssel-Tokens ausschließlich den betroffenen Parteien zur Verfügung, so dass nur diejenigen, die eine Kopie der Lösegeldforderung mit demselben Schlüssel haben, der für die Ausführung der Ransomware verwendet wurde, auf die Verhandlungs-Site zugreifen können.
- Die Art und Weise, wie die Ransomware in das Zielunternehmen eindringt, hängt von der RaaS-Tochtergesellschaft ab, die die Ransomware-Payload bereitstellt. In einem Bericht stellt Microsoft fest, dass BlackCat-Mitglieder verschiedene Angriffsvektoren ausnutzen, darunter Schwachstellen in Microsoft Exchange-Servern, um auf das Zielnetzwerk zuzugreifen, neben den üblichen Eintrittspunkten wie Remote-Desktop-Anwendungen und gestohlene Anmeldedaten.
- BlackCat nutzt das Emotet-Botnet, um seine Ransomware-Payload zu verteilen. Laut einem Bericht, nutzt BlackCat die Botnet-Malware Emotet - die zuvor von anderen berüchtigten RaaS-Gruppen wie Conti verwendet wurde - als ersten Einstiegspunkt für seine Infektionskette. Das Botnet wird eingesetzt, um einen Cobalt Strike Beacon auf gehackten Systemen zu installieren und als zweite Stufe der Payload eine laterale Bewegung zu ermöglichen. Diese Entwicklung zeigt, dass BlackCat in der Lage ist, schnell umzuschwenken.
Seit seinen Anfängen 2021 hat BlackCat Unternehmen aus verschiedenen Branchen wie dem Baugewerbe, dem Einzelhandel, der Fertigungsindustrie, dem Technologiesektor und dem Energiesektor anvisiert. Ein massiver Angriff auf deutsche Ölfirmen 2022 signalisierte, dass die Gruppe auf „Großwildjagd“ geht. Das Handelsblatt berichtete im Februar, dass 233 Tankstellen in Norddeutschland von dem Ransomware-Angriff betroffen waren. Der Angriff auf die Lieferkette brachte den Betrieb zum Stillstand und zwang die betroffenen Organisationen, die Lieferungen auf andere Depots umzuleiten. BlackCat hat sich zudem zu dem Angriff auf eine italienische Energieagentur, die sich für erneuerbare Energiequellen einsetzt, im September 2022 bekannt.
Eine europäische Regierung war Ende Mai 2022 eines der bekanntesten Ziele der Gruppe. Die Gruppe forderte Berichten zufolge fünf Millionen US-Dollar Lösegeld im Austausch für eine Software zur Entschlüsselung der gesperrten Computersysteme. Der Angriff führte zu einer massiven Unterbrechung der Behördendienste, da Tausende von Workstations kompromittiert wurden.
Die am stärksten betroffenen Länder und Branchen aufgrund von Trend Micro-Daten
Die Daten stammen aus dem Trend Micro™ Smart Protection Network™ und zeigen, dass auf Unternehmen in den USA die meisten Angriffe entfielen, nämlich 39,3 %.
Die meisten Erkennungen stammen aus der Fertigungsindustrie, nämlich ein Viertel aller Angriffe.
Anvisierte Regionen und Branchen laut der BlackCat Leak Site
Die BlackCat Leak-Site gibt die erfolgreich kompromittierten Organisationen wieder, die sich weigerten das Lösegeld zu zahlen. Trend Micros Open-Source-Intelligence (OSINT)-Recherchen und Untersuchungen der Website zeigen, dass die Gruppe zwischen dem 1. Dezember 2021 und dem 30. September 2022 insgesamt 173 Unternehmen kompromittiert hat.
Das Produkt-Feedback von Trend Micro zu den am stärksten betroffenen Ländern (siehe Bild 1) stimmte mit den Daten auf der BlackCat Leak Site überein.
Aus den Daten der Leak Site von BlackCat geht hervor, dass die Finanzbranche und die professionellen Dienstleistern am stärksten betroffen waren, gefolgt von den juristischen Dienstleistern.
Kleine Unternehmen machen bis zu 52 % der Opfer von BlackCat aus, gefolgt von mittleren Unernehmen mit 26 %.
Infektionskette und Techniken
Erstzugang: Trend Micro fand heraus, dass BlackCat Ransomware über Schwachstellen in MS Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 sowie CVE-2021-27065) in die Systeme eindringt. DieHintermänner verschaffen sich ihren Zugang mittels Remote Code Execution (RCE) über ConnectWise, eine Softwarelösung für Managed Service Provider (MSPs). Auf diese Weise können sie Anmeldedaten ohne Passwörter oder andere wichtige Kontoinformationen abfragen.
Umgehung des Schutzes, Erkundung und Zugang: Nach dem Eindringen ins Netzwerk schwächen die böswilligen Akteure die Verteidigung des Zielunternehmens, indem sie Antiviren-Anwendungen deinstallieren, AdFind und ADRecon verwenden, um an die Domänenkonten der Opfer zu gelangen, und SoftPerfect, um Informationen über das Netzwerk der Opfer zu finden. Die BlackCat-Betreiber nutzen auch Process Hacker und Mimikatz, um auf die Anmeldedaten der Opfer zuzugreifen und diese zu löschen.
Laterale Bewegung: Das BlackCat Binary kann sich mit Hilfe eines eingebetteten PsExec-Moduls selbständig verbreiten und lateral bewegen. BlackCat-Operatoren konnten auf andere Endpunkte im Netzwerk der Opfer zugreifen, um sich mithilfe von Fernsteuerungsanwendungen wie RDP und MobaXterm lateral weiter zu bewegen.
Exfiltrierung: Die Angreifer nutzten auch ExMatter, um Informationen für die doppelte Erpressung zu stehlen, sowie 7-Zip, Rclone, MEGASync oder WinSCP für die Archivierung dieser Informationen, die sie an ihre C&C-Server weiterleiten.
Auswirkungen: Die Verwendung von Rust zur Übermittlung des Payloads der Ransomware schafft die Voraussetzungen für die Verschlüsselungsroutine. Die Ransomware-Binärdatei beschädigt das Hintergrundbild des Systems und ersetzt es durch eine Benachrichtigung darüber, dass wichtige Dateien heruntergeladen und verschlüsselt wurden, sowie Informationen darüber, wo weitere Anweisungen zu finden sind.
Die Payload beendet auch bestimmte Services im Zusammenhang mit Backups, Antiviren-Anwendungen, Datenbanken, Windows-Internetdiensten und virtuellen ESXi-Maschinen (VMs).
Darüber hinaus fanden wir eine neuere Variante, die das betroffene System im abgesicherten Modus neu startet, bevor sie mit der Verschlüsselungsroutine fortfährt. Darüber hinaus deaktiviert sie die Systemwiederherstellung und löscht Volumenschattenkopien, um die Wiederherstellung der
Weitere technische Details liefert der Originalbeitrag. Hier finden sich auch eine Auflistung der MITRE Tactics and Techniques sowie eine tabellarische Zusammenfassung der eingesetzten Malware, Tools und Exploits.
Sicherheitsempfehlungen
Alle Anzeichen für die bösartigen Aktivitäten von BlackCat deuten darauf hin, dass sich die Ransomware-Gruppe für aggressivere Angriffe vorbereitet hat. Ihre Vorliebe für unkonventionelle Methoden, die Raffinesse ihrer Techniken und eine wachsende Zahl von Partnern zeigen, dass ihre Operationen robust sind und dies auch in Zukunft bleiben werden. Dies sollte für Unternehmen ein weiterer Grund sein, dafür zu sorgen, dass sie gut informiert sind und Sicherheitsmaßnahmen zur Abwehr von Ransomware-Bedrohungen getroffen haben.
Um die Systeme gegen ähnliche Bedrohungen zu schützen, können Unternehmen Sicherheits-Frameworks einrichten, die systematisch Ressourcen für die Einrichtung einer soliden Abwehr gegen Ransomware zuweisen können. Folgende Best Practices können in diese Frameworks integriert werden:
- Audit und Inventur: Erstellen sie eine Übersicht über die Assets und Daten und identifizieren Sie autorisierte und nicht autorisierte Geräte und Software. Führen Sie einen Audit der Ereignis-Logs durch.
- Konfigurieren und Monitoren: Verwalten Sie Hardware- und Softwarekonfigurationen. Gewähren Sie Administratorrechte und Zugriff nur dann, wenn dies für die Rolle eines Mitarbeiters erforderlich ist. Überwachen Sie Netzwerk-Ports, Protokolle und Dienste. Aktivieren Sie Sicherheitskonfigurationen auf Netzwerkinfrastrukturgeräten wie Firewalls und Routern. Erstellen Sie eine Software-Zulassungsliste, die nur legitime Anwendungen ausführt.
- Patchen und Updaten: Führen Sie regelmäßige Schwachstellenüberprüfungen durch. Patchen und aktualisieren Sie Betriebssysteme und Anwendungen.
- Schützen und wiederherstellen: Implementieren Sie Maßnahmen für den Datenschutz, Backup und Wiederherstellung. Setzen Sie Multifaktor-Authentifizierung ein.
- Sichern und verteidigen: Implementieren Sie Sandbox-Analyse, um bösartige Mails zu blockieren. Stellen Sie die neuesten Versionen von Sicherheitslösungen auf allen Ebenen des Systems bereit, einschließlich Mail, Endpunkt, Web und Netzwerk. Erkennen Sie frühzeitig Anzeichen eines Angriffs, z. B. das Vorhandensein von verdächtigen Tools im System, und nutzen Sie fortschrittliche Erkennungstechnologien, z. B. auf der Grundlage von KI und maschinellem Lernen.
- Schulen und testen: Regelmäßiges Training der Mitarbeiter auf Sicherheitskenntnisse, sowie das Aufsetzen eines Red Teams und Pen Tests.
Ein mehrschichtiger Sicherheitsansatz kann Unternehmen dabei helfen, die möglichen Eintrittspunkte in das System (Endpunkt, E-Mail, Web und Netzwerk) zu schützen. Sicherheitslösungen, die bösartige Komponenten und verdächtiges Verhalten erkennen, können Unternehmen schützen.
Eine Liste der Indicators of Compromise (IOCs) gibt es ebenfalls im Originalbeitrag.