Ransomware Angriffe bleiben eine der bedrohlichen Formen von Schadprogrammen, die von Hackergruppen genutzt werden, um Unternehmen und Einzelpersonen weltweit anzugreifen. Eine der neuesten Varianten ist die Ransomware Black Basta, die in den letzten zwei Jahren erheblich an Bedeutung gewonnen hat. Black Basta ist eine Ransomware-as-a-Service (RaaS) Variante, bei der Kriminelle das Schadprogramm von einer Gruppe mieten oder lizenzieren können. Dies ermöglicht auch weniger erfahrenen Cyberkriminellen, Ransomware-Angriffe durchzuführen. Laut dem FBI hat die Hackergruppe hinter Black Basta bereits mehr als 500 Unternehmen und Organisationen erfolgreich angegriffen und dabei erhebliche Schäden verursacht.
Wer ist Black Basta?
Die Gruppe hinter den Black Basta Angriffen trat erstmals im April 2022 in Erscheinung. Obwohl der genaue Ursprung der Gruppe bisher unbekannt ist, deuten mehrere Hinweise darauf, dass sie möglicherweise aus einem osteuropäischen Land stammt. So sind beispielsweise einige der Lösegeldforderungen in der russischen Sprache verfasst oder enthalten Teile auf Russisch. Zudem wurde beobachtet, dass die Aktivitäten der Gruppe häufig während der üblichen russischen Geschäftszeiten stattfinden. Weitere Merkmale, wie ihre Taktiken und Vorgehensweisen, ähneln ebenfalls anderen Cyberkriminalitätsgruppen aus Russland.
Wie funktioniert der Angriff
Der Angriff mit Black Basta erfolgt durch kompromittierte Zugangsdaten, Phishing-E-Mails oder Sicherheitslücken in ungeschützten Systemen. Einmal in das Netzwerk eingedrungen, breitet sich die Ransomware schnell auf andere Geräte im Netzwerk aus. Black Basta nutzt dabei oft sogenannte “Initial Access Brokers”, also Hackergruppen, die Zugang zu Netzwerken verkaufen, um gezielte Angriffe zu ermöglichen.
Sobald die Ransomware auf einem System aktiv ist, beginnt sie, alle Dateien zu verschlüsseln und die Dateierweiterungen zu ändern. Die verschlüsselten Dateien sind ohne den spezifischen Schlüssel zur Entschlüsselung unbrauchbar. Gleichzeitig hinterlässt Black Basta eine Lösegeldforderung in Form einer Textdatei. Darin wird den Opfern mitgeteilt, dass ihre Daten verschlüsselt wurden und wie sie das Lösegeld bezahlen sollen, um den Schlüssel für die Entschlüsselung zu erhalten.
Bei einem erfolgreichen Black Basta Angriff fordert die Gruppe nicht nur das Lösegeld für die Dateien, sondern sie erpresst ihre Opfer auch, indem sie damit droht, die Daten zu veröffentlichen. Bei der sogenannten „Doppelten Erpressung“ stehen die betroffenen Unternehmen vor einer zweifachen Gefahr, nicht nur den Zugriff auf ihre Daten zu verlieren, sondern auch einen erheblichen Reputationsschaden zu erleiden, wenn vertrauliche Informationen öffentlich gemacht werden.
So können Sie erkennen, ob Ihre Systeme mit Black Basta infiziert sind
Ein erstes deutliches Indiz für eine Infektion ist der plötzliche Verlust des Zugriffs auf Dateien, die unerwartet nicht mehr geöffnet oder verwendet werden können. Diese Dateien haben oft ungewöhnliche Erweiterungen oder Namen, was darauf hindeutet, dass sie verschlüsselt wurden. Zudem könnten ungewöhnliche Netzwerkaktivitäten auf eine Infektion hinweisen. Black Basta kann sich im Netzwerk ausbreiten und dabei versuchen, auf andere Geräte zuzugreifen oder Daten an externe Server zu senden. Dies führt häufig zu plötzlichen Spitzen im Netzwerkverkehr, die sogenannten “Peaks”, die durch ungewöhnlich große Datenmengen oder unautorisierte Verbindungen gekennzeichnet sind. Achten Sie auch auf verdächtige Prozesse oder unbekannte Programme, die möglicherweise von der Ransomware gesteuert werden.
Ein klares Anzeichen für eine Infektion mit Black Basta ist das Auftauchen einer Lösegeldforderung in Form einer Textdatei, die in verschiedenen Verzeichnissen abgelegt wird. Diese Datei informiert die Opfer darüber, dass ihre Daten verschlüsselt wurden und enthält detaillierte Anweisungen zur Zahlung des Lösegelds, um den Entschlüsselungsschlüssel zu erhalten. Zudem weisen diese Forderungen oft darauf hin, dass gestohlene Daten offengelegt werden, falls das Lösegeld nicht gezahlt wird – dies ist Teil der doppelten Erpressungsstrategie der Angreifer. Wenn Sie eines oder mehrere dieser Anzeichen bemerken, sollten Sie schnell reagieren, um den Schaden zu minimieren.