Der Fehler von Black Basta: Ausnutzung der durchgesickerten Chats der Bande

Inhalt

Überblick

Cloudforce One analysiert die TTPs von Black Basta

Wie Sie sich schützen können

Hinweise auf Kompromittierung

Überblick

Black Basta, eine berüchtigte Ransomware-Gruppe, die mit den kriminellen Unternehmen Ryuk und Conti in Verbindung steht, wurde enttarnt, als ein Leck ihres Matrix-Chat-Servers auf einem Telegram-Kanal auftauchte. Der Chatserver, der auf der Domain bestflowers247[.]online gehostet wird, wurde von einem Benutzer mit dem Benutzernamen ExploitWhispers geleakt. Die geleakten Dateien enthielten JSON-Dokumente mit Zeitstempeln, Absender- und Empfängerinformationen, Thread-IDs und Nachrichteninhalten. Diese Daten bieten verwertbare Einblicke in die Aktivitäten der Gruppe und helfen bei der Identifizierung der wichtigsten Konten und Domains, die von den Mitgliedern genutzt werden.

ExploitWhispers veröffentlicht Chat-Protokolle von Black Basta und legt dabei zentrale Konten und Domains offen.

Die durchgesickerten Chat-Daten bieten nicht nur Einblicke in das Innenleben von Black Basta, sondern werfen auch Licht auf das breitere Ransomware-Ökosystem. Zu verstehen, wie die Gruppe in diesem Ökosystem zurechtkommt, gibt einen wertvollen Einblick in seine Größe und Fähigkeit, wobei verschiedene Methoden zur Bewertung seiner Effektivität und Auswirkungen zur Verfügung stehen. Ein Ansatz besteht darin, die Kryptowährungstransaktionen zu analysieren, die dem kriminellen Unternehmen zugeschrieben werden. Kaitlin Martin vom Blockchain-Intelligence-Unternehmen Chainalysis hat genau diesen Punkt in Bezug auf das Black Basta-Leak hervorgehoben:

„On- und Off-Chain-Daten in den geleakten Chats von Black Basta zeigen, wie sich die Gruppe für ihren Betrieb auf verschiedene Webservices, Dienste von Drittanbietern und Dark-Web-Foren verlässt. Die Zahlungen an diese Dienste nicht nur von Black Basta, sondern auch von anderen Ransomware-Gruppen zeigen, in welchem Umfang diese Dienste Teil der kritischen Infrastruktur des Ransomware-Ökosystems sind.“

Durch die Untersuchung von Finanztransaktionen und betrieblichen Abhängigkeiten können die Forscher das Ökosystem besser verstehen, in dem diese Gruppen agieren und sich selbst erhalten.

Ein wichtiger Aspekt dieses Ökosystems ist, wie Ransomware-Banden ihre Opfer auswählen. Es stimmt zwar sicherlich, dass einige Branchen und Regionen der Welt unverhältnismäßig stark betroffen sind, aber es scheint so zu sein, dass Ransomware-Banden keine konkreten Opfer auswählen, sondern die Opfer aus einem Pool bereits kompromittierter Rechner auswählen. Ransomware-Banden koordinieren sich mit kriminellen Teams, die täglich Tausende von Rechnern infizieren und dann die Liste der kompromittierten Systeme überprüfen, um diejenigen zu identifizieren, die zu kapitalstarken Unternehmen gehören.

In vielen Fällen kaufen Ransomware-Banden den ersten Zugang zu den Hosts der Opfer von Brokern, die riesige Sammlungen von Zugangsdaten durchforsten, die auf kriminellen Märkten und Foren verkauft werden. Diese Zugangsdaten, die von Datendieben wie LummaC2 erbeutet wurden, gehören oft zu Konten von Fernzugriffssystemen wie RDWeb, Citrix und browserbasierten VPNs. Dieser Auswahlprozess macht deutlich, wie wichtig ein robuster Schutz der Zugangsdaten, Netzwerksegmentierung und eine proaktive Überwachung von Bedrohungen sind, um Ransomware-Angriffe zu stören, bevor sie zu groß angelegten Angriffen eskalieren.

Vor dem Datenleck führte Black Basta äußerst effektive Ransomware-Kampagnen durch, kompromittierte zahlreiche Unternehmen und verursachte Schäden in Millionenhöhe – einschließlich Lösegeldzahlungen. Die durchgesickerten Chat-Daten liefern Informationen über die Taktiken, Techniken und Verfahren (TTPs) der Gruppe, die Einblicke in ihre Aktivitäten bieten. Mit diesen Daten verfolgte Cloudflare die Aktivitäten von Black Basta und gewann einzigartige Einblicke in ihre Infrastruktur und Angriffsmethoden. Unternehmen können diese Informationen nutzen, um ihr Verständnis von Ransomware-Banden wie Black Basta zu verbessern, ihre Verteidigung zu stärken und ihre nächsten Schritte proaktiv vorherzusehen und so das Risiko zu verringern, Opfer künftiger Angriffe zu werden.

Cloudforce One analysiert die TTPs von Black Basta

Als Cloudforce One die bestflowflow.json-Datei erhielt, zählten wir zunächst alle Infrastrukturen auf, auf die in den Chats verwiesen wird, und konzentrierten uns dabei auf diejenigen, bei denen wir einen einzigartigen Überblick hatten. Während dieses Prozesses identifizierten wir Techniken, die von Black Basta eingesetzt werden, um die Datenexfiltration zu erleichtern und die Remote-Infrastruktur zu verschleiern. Wir haben eine gründliche Analyse dieser Infrastruktur durchgeführt, um ihre potenziellen Auswirkungen abzuschätzen. Unsere Nachforschungen bestätigten, dass viele der in den Chats genannten Domains nicht genutzt wurden, was darauf hindeutet, dass sie präventiv für operative Aufgaben erstellt wurden, die dann aber nie zustande kamen.

Black Basta folgte einem einheitlichen Prozess zur Einrichtung von Konten bei Infrastrukturanbietern. Die Gruppenmitglieder teilten im Chat regelmäßig Details zur Kontoerstellung mit, darunter Namen, Postadressen und Anmeldedaten. Sie verwendeten für E-Mail-Adressen Firmen-Domains, anstatt kostenlose E-Mail-Dienste zu nutzen. Bei der Verwaltung ihrer Infrastruktur stellten sie Verbindungen über eine Vielzahl von Netzwerken her und verließen sich uneinheitlich auf Anonymitätsdienste. Ihre Passwörter waren zwar recht komplex, aber sie verwendeten häufig dieselben Passwörter für mehrere Konten.

Nach Abschluss der Untersuchung der Infrastruktur von Black Basta haben wir die Chats genau überprüft, um ihre Methoden für den ersten Zugriff, die Taktik nach dem Ausbeuten von Sicherheitslücken und die Verhandlungsstrategien zu analysieren. Black Basta nutzte aktiv Vorläufer-Malware wie Qakbot, um eine große Anzahl von Computern weltweit zu infiltrieren. Nachdem sie sich Zugang verschafft hatten, identifizierten sie hochwertige Ziele durch Post-Exploit-Aufgaben, einschließlich bekannter Techniken wie der Installation von persistenten Beacons, dem Auflisten von Verzeichnissen und der Ausweitung von Berechtigungen.

In einigen Fällen drang Black Basta in Systeme ein, indem sie andere Methoden nutzten, bei denen Anmeldedaten verwendet wurden, die von einem Informationsdiebstahl erbeutet wurden. Cloudforce One entdeckte einige der zugehörigen Konten in Sammlungen von Zugangsdaten, die in Telegram-Kanälen, die Protokollen von Informationsdiebstahl vorbehalten waren, gehandelt und frei weitergegeben wurden. Eine beispielhafte Telegram-Nachricht zu einem dieser kompromittierten Konten ist in der folgenden Abbildung dargestellt.

Kompromittiertes RDWeb-Konto eines US-Unternehmens, das von Black Basta identifiziert wurde

Dass Black Basta auf den Diebstahl von Zugangsdaten und Schadsoftware angewiesen ist, unterstreicht die vernetzte Natur des Ransomware-Ökosystems. Es ist ein Ökosystem, das nicht nur vom ersten Zugriff profitiert, sondern auch von der finanziellen Infrastruktur, die seinen Betrieb aufrechterhält. Lösegeldzahlungen fließen über Kryptowährungen, in erster Linie über Bitcoin. Die geleakten Chats enthalten zahlreiche Kryptowährungsadressen, die als Zahlungsziele dienen könnten, die mit anderen Adressen gebündelt werden können, um den finanziellen Fußabdruck und die Auswirkungen von Black Basta zu analysieren.

Die Gruppe bezieht sich auch auf Kryptowährungen, wenn sie Zahlungen für die Infrastruktur arrangieren, wobei die Antragsteller den Betrag angeben und manchmal mehrere Zahlungsoptionen in Kryptowährungen anbieten. Dies spiegelt die Praktiken wider, die in den Conti-Chat-Leaks aus dem Jahr 2022 beobachtet wurden, als Teammitglieder Führungskräfte routinemäßig aufforderten, Zahlungen in Kryptowährungen für Virtual Private Server, Domainnamen und VPN-Dienste zu tätigen.

Die Untersuchung der durch das Leak des Chat-Servers von Black Basta preisgegebenen Erkenntnisse durch Cloudforce One lieferte interessante Erkenntnisse und enthüllte einzigartige Cloudflare-Erkenntnisse. Sie bestätigte die Verwendung von Vorläufer-Malware, den strategischen Umgang mit Zugangsdaten und die Fähigkeit der Gruppe, Netzwerke zu infiltrieren, sich hartnäckig zu halten und erfolgreich hochrangige Opfer anzugreifen. Durch die Analyse der geleakten Chat-Daten erhielten wir zusätzliche Einblicke in die zentrale Rolle, die Kryptowährungen für den Erhalt ihrer Operationen spielen, sowie in ihre Abhängigkeit von verschiedenen Web- und Drittanbieterdiensten und Foren im Darknet. Diese Untersuchung verdeutlicht die zunehmende Komplexität des Ransomware-Ökosystems und unterstreicht die Notwendigkeit robuster Verteidigungsmaßnahmen, die von der Sicherung der ersten Zugangspunkte bis zur Überwachung von Finanztransaktionen reichen, um diese hartnäckigen und anpassungsfähigen Bedrohungsakteure wirksam zu bekämpfen.

Wie Sie sich schützen können

Viele Fachzeitschriften und Blogs geben Empfehlungen zur Abwehr von Ransomware, gehen aber oft nicht auf die Ursachen der Vorfälle ein. Ransomware-Gruppen verschaffen sich in der Regel ersten Zugang durch einige wichtige Methoden:

• Diebstahl und Weiterverkauf von Zugangsdaten: Datendiebstähle erbeuten Fernzugriffsdaten, die dann an Erstzugriffs-Broker verkauft werden. Diese Broker wiederum verkaufen sie an Ransomware-Banden.

• Bereitstellung von Vorläufer-Malware: Bedrohungsakteure verbreiten Schadsoftware wie Qakbot und ICedID über weitverbreitete Spam-Kampagnen. Sie identifizieren dann hochwertige Ransomware-Ziele auf den infizierten Rechnern. Angreifer verbreiten diese Schadsoftware oft über E-Mail-Anhänge mit eingebetteten Skripten oder Links zu Dateien, die Skripte enthalten, die böswillige Nutzlasten herunterladen und ausführen.

• Missbrauch anfälliger Edge-Geräte: Ransomware-Gruppen nutzen häufig ungepatchte Sicherheitslücken in Firewalls, VPN-Appliances und File-Sharing-Diensten aus, um sich unbefugten Zugang zu verschaffen. Ransomware-Vorfälle sind häufig auf diese Sicherheitslücken zurückzuführen und ermöglichen es Angreifern, in Netzwerke einzudringen und ihre böswilligen Nutzlasten einzusetzen.

Befolgen Sie diese Empfehlungen, um Ihre Gefährdung durch Ransomware zu reduzieren:

• Deaktivieren von im Browser gespeicherten Passwörtern: Unternehmen, die einen Passwort-Manager für die Organisation anbieten, sollten Nutzer daran hindern, Anmeldedaten in Webbrowsern zu speichern.

• Sichere Remote-Zugangssysteme: Verlangen Sie eine Multi-Faktor-Authentifizierung (MFA) für RDP, RDWeb, Citrix, VPNs und andere Remote-Zugangsdienste, die mit dem Internet verbunden sind.

• Nutzer über gefälschte Software aufklären: Illegitime Software ist eine Hauptquelle für Datendiebstähle, die Zugangsdaten sammeln, die später an Erstzugangs-Broker verkauft werden.

• E-Mail-Anhänge sorgfältig filtern: Ziehen Sie eine robuste E-Mail-Sicherheitslösung in Betracht, die böswillige Anhänge mit aktiven Inhalten wie Makros oder Skripten blockieren kann, um die Übertragung von Schadsoftware zu verhindern. Unser Produkt „Cloudflare Email Security“ schützt vor per E-Mail übertragenen Infektionsvektoren, die häufig von Ransomware-Gruppen verwendet werden.

• Blockieren Sie riskante Office-Makros: Verhindern Sie die Ausführung von Makros in Office-Dokumenten, die mit dem Web-Kennzeichen markiert sind, was darauf hinweist, dass sie aus dem Internet heruntergeladen wurden.

• Missbrauch in den Netzwerken von Cloudflare melden: Wenn Ihnen verdächtige Aktivitäten auffallen, können Sie diese über den Trust Hub von Cloudflare melden.

Hinweise auf Kompromittierung

Die folgende Liste von Domains, die aus den Chat-Protokollen von Black Basta extrahiert wurde, wird mit Schadsoftware und Datenexfiltration in Verbindung gebracht. Obwohl einige dieser Domains in der Vergangenheit aktiv waren und es unwahrscheinlich ist, dass sie im zukünftigen Traffic auftauchen, könnte eine rückwirkende Analyse dabei helfen, historische Verbindungen zu identifizieren. Das Erkennen früherer Aktivitäten im Zusammenhang mit diesen Domains kann auf eine Schadsoftware-Kommunikation mit einem Command-and-Control-Server hindeuten.

Die Tabelle enthält einige der prominenten Domains und IP- Adressen, die in den geleakten Chats identifiziert wurden, aber sie bietet nur einen Ausschnitt der sehr langen Liste der Black Basta-Indikatoren, die von Cloudforce One erfasst wurden. Um mehr über den Zugriff auf die vollständige Liste der Indikatoren zusammen mit zusätzlichem verwertbarem Kontext zu erfahren, beziehen Sie sich auf unsere Plattform für Bedrohungsereignisse, die für Cloudforce One-Kunden verfügbar ist.

Über Cloudforce One

Cloudflare hat es sich zur Aufgabe gemacht, ein besseres Internet zu schaffen. Dafür müssen Angreifer, die das Vertrauen untergraben und das Internet für persönliche oder politische Zwecke missbrauchen wollen, aufgespürt, bei ihrer Arbeit behindert und geschwächt werden. An dieser Stelle kommt Cloudforce One ins Spiel. Dieses engagierte Team von Cloudflare besteht aus weltweit anerkannten Bedrohungsforschern. Es hat die Aufgabe, IT-Sicherheitsteams Bedrohungsdaten bereitzustellen, anhand derer diese schnell fundierte Entscheidungen treffen können. Uns stehen zur Erkennung und Abwehr von Angriffen einzigartige Erkenntnisse zur Verfügung.

Die Grundlage für diesen großen Wissensschatz bildet das globale Netzwerk von Cloudflare – eines der größten der Welt – das etwa 20 Prozent des Internets abdeckt. Unsere Dienste werden von Millionen von Nutzern in jedem Winkel des Web in Anspruch genommen, was uns einen einzigartigen Einblick in das weltweite Geschehen und damit auch in die interessantesten Angriffe im Internet gibt. Das ermöglicht es Cloudforce One, in Echtzeit Aufklärung zu betreiben, Angreifern frühzeitig das Handwerk zu legen und Wissen in taktische Erfolge umzumünzen.