Ein Cyberangriff ist ein vorsätzlicher und böswilliger Versuch, sich über bestehende Schwachstellen unbefugten Zugang zu einem Computersystem oder Netzwerk zu verschaffen. Dies kann geschehen, um sensible Informationen zu stehlen und den normalen Betrieb zu stören.
In jüngster Zeit hat sich Ransomware zum beliebtesten Angriffswerkzeug von Cyberkriminellen entwickelt. Ransomware wird in der Regel über Phishing-E-Mails, Drive-by-Downloads, raubkopierte Software und Remote-Desk-Protokolle verbreitet, um nur einige zu nennen.
Sobald ein Computer mit Ransomware infiziert ist, verschlüsselt die Ransomware wichtige Dateien auf dem Computer. Die Hacker verlangen dann ein Lösegeld, um die verschlüsselten Daten wiederherzustellen.
Cyberangriffe können die nationale Sicherheit eines Landes gefährden, den Betrieb in Schlüsselsektoren einer Wirtschaft lahmlegen und immense Schäden und schwere finanzielle Verluste verursachen. Genau das ist bei der WannaCry Ransomware Cyber-Attacke passiert.
Am 12. Mai 2017 verbreitete sich die Ransomware WannaCry, die vermutlich aus Nordkorea stammte, weltweit und infizierte in weniger als zwei Tagen über 200.000 Computersysteme in mehr als 150 Ländern. WannaCry zielte auf Computersysteme ab, auf denen das Windows-Betriebssystem läuft. Er nutzte eine Schwachstelle im Server Message Block Protokoll des Betriebssystems aus.
Eines der größten Opfer des Angriffs war der britische National Health Service (NHS). Über 70.000 seiner Geräte, darunter Computer, Theater, Diagnosegeräte und MRT-Scanner, waren infiziert. Ärzte konnten nicht mehr auf ihre Systeme oder Patientendaten zugreifen, um Patienten zu behandeln. Dieser Angriff kostete den NHS fast 100 Millionen Dollar.
So schlimm kann es also werden. Aber es kann noch viel schlimmer kommen, insbesondere mit neuer und gefährlicherer Ransomware wie BlackCat, die eine Spur voller Opfer hinterlässt.
BlackCat Ransomware
Die BlackCat Ransomware, die von ihren Entwicklern ALPHV genannt wird, ist eine bösartige Software, die nach der Infektion eines Systems die Daten des betroffenen Systems exfiltriert und verschlüsselt. Bei der Exfiltration werden die in einem System gespeicherten Daten kopiert und übertragen.
Sobald BlackCat wichtige Daten exfiltriert und verschlüsselt hat, wird eine Lösegeldforderung in Kryptowährung gestellt. BlackCat-Opfer müssen das geforderte Lösegeld zahlen, um wieder Zugriff auf ihre Daten zu erhalten.
BlackCat ist keine gewöhnliche Ransomware. BlackCat war die erste erfolgreiche Ransomware, die in Rust geschrieben wurde, im Gegensatz zu anderer Ransomware, die in der Regel in C, C , C#, Java oder Python geschrieben ist. Außerdem war BlackCat die erste Ransomware-Familie, die eine Website im Internet betreibt, auf der sie gestohlene Informationen aus ihren Angriffen veröffentlicht.
Ein weiterer wesentlicher Unterschied zu anderer Ransomware ist, dass BlackCat als Ransomware as a Service (RaaS) arbeitet. Raas ist ein Geschäftsmodell der Cyberkriminalität, bei dem die Hersteller von Ransomware ihre Ransomware als Dienstleistung an andere Personen oder Gruppen vermieten oder verkaufen.
Bei diesem Modell stellen die Ersteller von Ransomware alle notwendigen Tools und die Infrastruktur zur Verfügung, damit andere Ransomware-Angriffe verbreiten und ausführen können. Im Gegenzug erhalten sie einen Anteil an ihren Gewinnen aus den Ransomware-Zahlungen.
Das erklärt, warum BlackCat vor allem Organisationen und Unternehmen ins Visier genommen hat, da diese in der Regel eher bereit sind, das Lösegeld zu zahlen als Einzelpersonen. Organisationen und Unternehmen zahlen auch ein höheres Lösegeld als Einzelpersonen. Menschen, die Cyberangriffe steuern und Entscheidungen treffen, werden als Cyber Threat Actors (CTA) bezeichnet.
Um die Opfer zur Zahlung des Lösegelds zu zwingen, verwendet BlackCat die “dreifache Erpressungstechnik”. Dabei werden die Daten der Opfer kopiert und übertragen und die Daten auf deren Systemen verschlüsselt. Die Opfer werden dann aufgefordert, Lösegeld zu zahlen, um auf ihre verschlüsselten Daten zugreifen zu können. Wenn sie dem nicht nachkommen, werden ihre Daten an die Öffentlichkeit weitergegeben und/oder Denial-of-Service(DOS)-Angriffe auf ihre Systeme gestartet.
Schließlich werden diejenigen, die von dem Datenleck betroffen sind, kontaktiert und darüber informiert, dass ihre Daten geleakt werden. Dabei handelt es sich in der Regel um Kunden, Mitarbeiter und andere Unternehmensangehörige. Auf diese Weise sollen die Opfer unter Druck gesetzt werden, Lösegeld zu zahlen, um Reputationsverluste und Gerichtsverfahren infolge des Datenverlusts zu vermeiden.
Wie BlackCat Ransomware funktioniert
Laut einer Warnmeldung des FBI verwendet die BlackCat Ransomware zuvor kompromittierte Benutzeranmeldedaten, um sich Zugang zu Systemen zu verschaffen.
Sobald BlackCat erfolgreich in das System eingedrungen ist, nutzt er den ihm gewährten Zugang, um die im aktiven Verzeichnis gespeicherten Benutzer- und Administratorkonten zu kompromittieren. Auf diese Weise kann er den Windows Task Scheduler verwenden, um bösartige Gruppenrichtlinienobjekte (GPOs) zu konfigurieren, die es BlackCat ermöglichen, seine Ransomware zur Verschlüsselung von Dateien in einem System einzusetzen.
Bei einem BlackCat-Angriff werden PowerShell-Skripte zusammen mit Cobalt Strike verwendet, um Sicherheitsfunktionen im Netzwerk des Opfers zu deaktivieren. BlackCat stiehlt dann die Daten der Opfer von dort, wo sie gespeichert sind, auch von Cloud-Anbietern. Sobald dies geschehen ist, setzt der Cyber-Bedrohungsakteur, der den Angriff leitet, die Ransomware BlackCat ein, um die Daten im System des Opfers zu verschlüsseln.
Die Opfer erhalten dann eine Lösegeldforderung, die sie darüber informiert, dass ihr System angegriffen wurde und wichtige Dateien verschlüsselt wurden. Die Lösegeldforderung enthält auch Anweisungen, wie das Lösegeld zu zahlen ist.
Warum ist BlackCat gefährlicher als die durchschnittliche Ransomware?
BlackCat ist im Vergleich zu durchschnittlicher Ransomware aus einer Reihe von Gründen gefährlich:
Sie ist in Rust geschrieben
Rust ist eine Programmiersprache, die schnell und sicher ist und eine verbesserte Leistung und effiziente Speicherverwaltung bietet. Durch die Verwendung von Rust profitiert BlackCat von all diesen Vorteilen, was es zu einer sehr komplexen und effizienten Ransomware mit schneller Verschlüsselung macht. Außerdem lässt sich BlackCat dadurch nur schwer zurückentwickeln. Rust ist eine plattformübergreifende Sprache, die es Bedrohungsakteuren ermöglicht, BlackCat so anzupassen, dass es auf verschiedene Betriebssysteme wie Windows und Linux abzielt, was die Zahl der potenziellen Opfer erhöht.
Es verwendet ein RaaS-Geschäftsmodell
BlackCat nutzt ein Ransomware-as-a-Service-Modell, das es vielen Bedrohungsakteuren ermöglicht, komplexe Ransomware einzusetzen, ohne dass sie wissen müssen, wie man sie erstellt. BlackCat übernimmt die gesamte Arbeit für die Bedrohungsakteure, die sie nur noch in einem anfälligen System installieren müssen. Dies macht ausgeklügelte Ransomware-Angriffe für Bedrohungsakteure, die verwundbare Systeme ausnutzen wollen, einfach.
Es bietet Affiliates hohe Auszahlungen
Da BlackCat ein Raas-Modell verwendet, verdienen die Erschaffer Geld, indem sie einen Teil des Lösegelds einbehalten, das an Bedrohungsakteure gezahlt wird, die die Software einsetzen. Im Gegensatz zu anderen Raas-Familien, die bis zu 30 % der Lösegeldzahlungen eines Bedrohungsakteurs einbehalten, erlaubt BlackCat den Bedrohungsakteuren, 80 bis 90 % des Lösegelds zu behalten, das sie verdienen. Dies erhöht die Attraktivität von BlackCat für Bedrohungsakteure und ermöglicht es BlackCat, mehr Partner zu gewinnen, die bereit sind, es bei Cyberangriffen einzusetzen.
Es gibt eine öffentliche Leck-Site im Internet
Im Gegensatz zu anderer Ransomware, die die gestohlenen Daten im Dark Web veröffentlicht, veröffentlicht BlackCat die gestohlenen Daten auf einer Website, die über das Internet zugänglich ist. Dadurch, dass die gestohlenen Daten öffentlich zugänglich sind, können mehr Menschen auf die Daten zugreifen, was die Auswirkungen eines Cyberangriffs vergrößert und den Druck auf die Opfer erhöht, das Lösegeld zu zahlen.
Durch die Programmiersprache Rust ist BlackCat bei seinem Angriff sehr effektiv. Da BlackCat ein Raas-Modell verwendet und eine hohe Auszahlung anbietet, spricht es mehr Bedrohungsakteure an, die es mit größerer Wahrscheinlichkeit bei Angriffen einsetzen.
BlackCat Ransomware-Infektionskette
BlackCat verschafft sich zunächst Zugang zu einem System, indem es kompromittierte Anmeldeinformationen verwendet oder Schwachstellen in Microsoft Exchange Server ausnutzt. Nachdem sie sich Zugang zu einem System verschafft haben, schalten die böswilligen Akteure die Sicherheitsvorkehrungen des Systems aus, sammeln Informationen über das Netzwerk des Opfers und erhöhen ihre Berechtigungen.
BlackCat Ransomware bewegt sich dann seitlich im Netzwerk und verschafft sich Zugang zu so vielen Systemen wie möglich. Dies ist während der Lösegeldforderung sehr nützlich. Je mehr Systeme angegriffen werden, desto wahrscheinlicher ist es, dass ein Opfer das Lösegeld zahlt.
Böswillige Akteure exfiltrieren dann die Daten des Systems, die für die Erpressung verwendet werden sollen. Sobald kritische Daten exfiltriert wurden, ist die Bühne für die Übermittlung der BlackCat-Nutzlast bereitet.
Böswillige Akteure liefern BlackCat mit Hilfe von Rust aus. BlackCat stoppt zunächst Dienste wie Backups, Antiviren-Anwendungen, Windows-Internetdienste und virtuelle Maschinen. Sobald dies geschehen ist, verschlüsselt BlackCat die Dateien im System und verunstaltet das Hintergrundbild des Systems, indem es es durch die Lösegeldforderung ersetzt.
Schützen Sie sich vor BlackCat Ransomware
Obwohl sich BlackCat als gefährlicher erweist als andere Ransomware, die bisher beobachtet wurde, können sich Unternehmen auf verschiedene Weise vor dieser Ransomware schützen:
Verschlüsseln Sie kritische Daten
Teil der Erpressungsstrategie von Blackhat ist die Drohung, die Daten des Opfers preiszugeben. Durch die Verschlüsselung kritischer Daten kann ein Unternehmen seine Daten zusätzlich schützen und so die Erpressungstechniken von BlackHat-Bedrohungsakteuren vereiteln. Selbst wenn die Daten durchsickern, werden sie nicht in einem für Menschen lesbaren Format vorliegen.
Aktualisieren Sie Ihre Systeme regelmäßig
Untersuchungen von Microsoft haben ergeben, dass BlackCat in einigen Fällen ungepatchte Exchange-Server ausnutzte, um sich Zugang zu den Systemen eines Unternehmens zu verschaffen. Softwareunternehmen veröffentlichen regelmäßig Software-Updates, um Schwachstellen und Sicherheitsprobleme zu beheben, die in ihren Systemen entdeckt worden sind. Installieren Sie zur Sicherheit Software-Patches, sobald sie verfügbar sind.
Sichern Sie Ihre Daten an einem sicheren Ort
Unternehmen sollten der regelmäßigen Datensicherung und der Speicherung der Daten an einem separaten und sicheren Offline-Speicherort Priorität einräumen. Damit stellen Sie sicher, dass selbst im Falle einer Verschlüsselung kritischer Daten diese aus den vorhandenen Backups wiederhergestellt werden können.
Implementieren Sie eine Multi-Faktor-Authentifizierung
Zusätzlich zur Verwendung von sicheren Passwörtern in einem System sollten Sie eine Multifaktor-Authentifizierung implementieren, bei der mehrere Anmeldeinformationen erforderlich sind, bevor der Zugriff auf ein System gewährt wird. Dazu kann ein System so konfiguriert werden, dass es ein Einmal-Passwort generiert, das an eine verknüpfte Telefonnummer oder E-Mail gesendet wird, die für den Zugriff auf ein System erforderlich ist.
Überwachen Sie die Aktivitäten in einem Netzwerk und die Dateien in einem System
Unternehmen sollten die Aktivitäten in ihren Netzwerken ständig überwachen, um verdächtige Aktivitäten in ihren Netzwerken so schnell wie möglich zu erkennen und darauf zu reagieren. Die Aktivitäten in einem Netzwerk sollten auch protokolliert und von Sicherheitsexperten überprüft werden, um potenzielle Bedrohungen zu erkennen. Schließlich sollten Systeme eingerichtet werden, die verfolgen, wie auf Dateien in einem System zugegriffen wird, wer darauf zugreift und wie sie verwendet werden.
Verschlüsseln Sie kritische Daten, stellen Sie sicher, dass die Systeme auf dem neuesten Stand sind, erstellen Sie regelmäßig Sicherungskopien von Daten, implementieren Sie eine Multi-Faktor-Authentifizierung und überwachen Sie die Aktivitäten in einem System. Unternehmen können einen Schritt voraus sein und Angriffe von BlackCat verhindern.
Blackcat Ransomware-Angriffe
#1. Reddit
Blackcat verschaffte sich im Februar 2023Zugang zu den Systemen von Reddit und stahl Berichten zufolge 80 GB an Daten, bestehend aus internen Dokumenten, Code usw.
Es begann mit einer gezielten Angriffskampagne, die gemeinhin als Speer-Phishing bekannt ist, gegen einige Reddit-Mitarbeiter. Dies schien bei einem Mitarbeiter zu funktionieren, der in die Falle tappte und seine Zugangsdaten zum Intranet des Unternehmens preisgab.
Die Ransomware-Gruppe verlangte 80 Millionen US-Dollar für die Löschung der gestohlenen Daten und forderte Reddit auf, die Erhöhung der API-Preise rückgängig zu machen. Reddit hat jedoch schnell jegliche Behauptungen über ein Leck bei sensiblen Daten dementiert.
Bis jetzt ist es ALPHV nicht gelungen, das Social Media-Unternehmen zur Zahlung des Lösegelds zu bewegen.
#2. MGM Resort
Am 20. September 2023 wurde der Hotel- und Kasinokonzern MGM Resorts von einem Blackcat Ransomware-Angriff getroffen.
Es heißt, der Angriff begann mit einer bekannten Phishing-Technik, die als Voice-Phishing oder Vishing bekannt ist. Dabei gab sich einer der Cyber-Angreifer als MGM-Mitarbeiter aus und überzeugte den IT-Helpdesk, ein Passwort zurückzusetzen, was den Weg für den folgenden Angriff ebnete.
Wie bei solchen Angriffen üblich, verschlüsselten die Kriminellen einen Teil des MGM-Netzwerks und exfiltrierten sensible Daten. Die Täter drohten MGM mit der Zahlung von Lösegeld oder mit weiteren Angriffen.
Es ist bekannt, dass MGM bei dieser unglücklichen Serie von Vorfällen gut 100 Millionen USD als Lösegeld verloren hat.
#3. Gerichtsbezirk Florida
In einem ähnlichen Vorfall, der im Oktober 2023 auftauchte, nahm die Blackcat Ransomware-Bande Gerichte im Nordwesten Floridas ins Visier und behauptete, persönliche Daten wie Sozialversicherungsnummern von Mitarbeitern des Bezirksgerichts gestohlen zu haben. Außerdem gab ALPHV an, über die Netzwerkkarte des Gerichtssystems und die Zugangsdaten zu den Diensten zu verfügen.
Zum Zeitpunkt der Erstellung dieses Artikels ist noch nicht klar, ob die Lösegeldforderungen erfüllt wurden oder ob das Bezirksgericht von Florida seine Systeme von Malware und/oder möglichen Hintertüren befreit hat.
Lernressourcen: Ransomware
Wenn Sie mehr über Cyberangriffe erfahren möchten und darüber, wie Sie sich vor Angriffen durch Ransomware wie BlackCat schützen können, empfehlen wir Ihnen, einen der folgenden Kurse zu besuchen oder die unten aufgeführten Bücher zu lesen:
#1. Schulung zum Sicherheitsbewußtsein
Dies ist ein hervorragender Kurs für alle, die sich für die Sicherheit im Internet interessieren. Der Kurs wird von Dr. Michael Biocchi angeboten, einem Certified Information Systems Security Professional (CISSP).
Der Kurs befasst sich mit Phishing, Social Engineering, Datenlecks, Passwörtern, sicherem Surfen und persönlichen Geräten und bietet allgemeine Tipps, wie Sie sich im Internet schützen können. Der Kurs wird regelmäßig aktualisiert und jeder, der das Internet nutzt, kann von ihm profitieren.
#2. Schulung zum Sicherheitsbewusstsein, Internetsicherheit für Mitarbeiter
Dieser Kurs ist auf alltägliche Internetnutzer zugeschnitten und zielt darauf ab, sie über Sicherheitsbedrohungen aufzuklären, die ihnen oft nicht bewusst sind, und darüber, wie sie sich vor diesen Bedrohungen schützen können.
Der von Roy Davis, einem CISSP-zertifizierten Experten für Informationssicherheit, angebotene Kurs behandelt die Themen Benutzer- und Geräteverantwortung, Phishing und andere bösartige E-Mails, Social Engineering, Umgang mit Daten, Passwort- und Sicherheitsfragen, sicheres Surfen, mobile Geräte und Ransomware. Wenn Sie den Kurs abschließen, erhalten Sie ein Abschlusszertifikat, das in den meisten Unternehmen ausreicht, um die Richtlinien zur Datensicherheit einzuhalten.
#3. Cyber-Sicherheit: Awareness Training für absolute Anfänger
Dies ist ein Udemy-Kurs, der von Usman Ashraf von der Logix Academy, einem Startup für Schulungen und Zertifizierungen, angeboten wird. Usman ist CISSP-zertifiziert und hat einen Doktortitel in Computernetzwerken sowie viel Industrie- und Lehrerfahrung.
Dieser Kurs bietet den Teilnehmern einen tiefen Einblick in Social Engineering, Passwörter, sichere Datenentsorgung, virtuelle private Netzwerke (VPNs), Malware, Ransomware und Tipps zum sicheren Surfen und erklärt, wie Cookies verwendet werden, um Menschen zu verfolgen. Der Kurs ist nicht-technisch.
#4. Ransomware aufgedeckt
Dies ist ein Buch von Nihad A. Hassan, einem unabhängigen Berater für Informationssicherheit und einem Experten für Cybersicherheit und digitale Forensik. Das Buch lehrt, wie man Ransomware-Angriffe entschärft und bewältigt und gibt dem Leser einen detaillierten Einblick in die verschiedenen Arten von Ransomware, die es gibt, ihre Verbreitungsstrategien und Wiederherstellungsmethoden.
Preview | Product | Rating | |
---|---|---|---|
Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks | Buy on Amazon |
Das Buch behandelt auch Schritte, die im Falle einer Ransomware-Infektion zu befolgen sind. Dazu gehört die Zahlung von Lösegeld, die Durchführung von Backups und die Wiederherstellung betroffener Dateien sowie die Online-Suche nach Entschlüsselungstools zur Entschlüsselung infizierter Dateien. Außerdem erfahren Sie, wie Unternehmen einen Plan für die Reaktion auf einen Ransomware-Vorfall entwickeln können, um den Schaden durch Ransomware zu minimieren und den normalen Betrieb schnell wiederherzustellen.
#5. Ransomware Schutz Playbook
Für jede Person oder Organisation, die sich gegen Ransomware wappnen möchte, ist dieses Buch eine Pflichtlektüre. In diesem Buch stellt Roger A. Grimes, ein Experte für Computersicherheit und Penetration, seine umfangreiche Erfahrung und sein Wissen auf diesem Gebiet zur Verfügung, um Menschen und Organisationen zu helfen, sich vor Ransomware zu schützen.
Preview | Product | Rating | |
---|---|---|---|
Ransomware Protection Playbook | Buy on Amazon |
Das Buch bietet einen umsetzbaren Plan für Unternehmen, die eine solide Verteidigung gegen Ransomware aufbauen wollen. Es zeigt auch, wie man einen Angriff erkennt, den Schaden schnell begrenzt und entscheidet, ob man das Lösegeld zahlen soll oder nicht. Es bietet auch einen Plan, wie Unternehmen den Ruf und den finanziellen Schaden, der durch schwerwiegende Sicherheitsverletzungen entsteht, begrenzen können.
Schließlich erfahren Sie, wie Sie eine sichere Grundlage für eine Cybersecurity-Versicherung und einen Rechtsschutz schaffen, um die Unterbrechung des Geschäfts- und Alltagslebens abzumildern.
Anmerkung des Autors
BlackCat ist eine revolutionäre Ransomware, die den Status Quo im Bereich der Cybersicherheit verändern wird. Im März 2022 hatte BlackCat bereits über 60 Organisationen erfolgreich angegriffen und die Aufmerksamkeit des FBI auf sich gezogen. BlackCat ist eine ernsthafte Bedrohung, die keine Organisation ignorieren kann.
Durch den Einsatz einer modernen Programmiersprache und unkonventioneller Angriffs-, Verschlüsselungs- und Lösegelderpressungsmethoden hat BlackCat die Sicherheitsexperten auf Trab gehalten. Der Kampf gegen diese Ransomware ist jedoch noch nicht verloren.
Durch die Umsetzung der in diesem Artikel vorgestellten Strategien und die Minimierung der Möglichkeiten für menschliches Versagen, Computersysteme zu gefährden, können Unternehmen einen Schritt voraus sein und einen katastrophalen Angriff durch BlackCat Ransomware verhindern.