Black Basta

Überblick

„Black Basta“ ist ein Ransomware-Stamm, der nach einer Entwicklungsphase erstmals öffentlich in Erscheinung trat. Auffällig ist die Geschwindigkeit, mit der die Gruppe Opfer anhäufte, sowie der professionelle Stil ihrer Lösegeldverhandlungen. Beides spricht dafür, dass es sich nicht um eine gänzlich neue Operation handelt, sondern eher um die Neuausrichtung einer zuvor führenden Ransomware-Bande, die ihre erfahrenen Partner mitbrachte. Die Gruppe agiert wie ein eingespieltes Erpressungsunternehmen, das gezielt Organisationen unterschiedlicher Branchen ins Visier nimmt und auf eingeübte Abläufe zur schnellen Kompromittierung und Verhandlung zurückgreift. Charakteristisch ist die Kombination aus rasch wachsender Opferzahl und der ausgereiften Verhandlungsführung, die den Eindruck einer bereits etablierten, gut organisierten Akteursgruppe erweckt und sie von typischen Neueinsteigern im Ransomware-Umfeld abhebt.

Taktiken & Vorgehen

Der Erstzugang erfolgt über Spear-Phishing-E-Mails mit angehängten, häufig passwortgeschützten ZIP-Dateien, die schädliche Dokumente in den Formaten .doc, .pdf und .xls enthalten. Für die Ausführung nutzt die Gruppe PowerShell mit kodierten Skripten zum Nachladen weiterer Komponenten, Windows Management Instrumentation mittels „Invoke-TotalExec“ zur Verteilung der Ransomware-Binärdatei sowie PsExec zur Ausführung auf entfernten Hosts. Zur Persistenz werden neue Konten mit Namen wie „temp“, „r“ oder „admin“ angelegt, der Administratorgruppe hinzugefügt und unauffällig benannte Windows-Dienste erstellt; über Qakbot wird DLL-Search-Order-Hijacking betrieben. Gruppenrichtlinien werden für Rechteausweitung und Abwehrumgehung modifiziert. Zum Werkzeugarsenal zählen Mimikatz, Backstab, AdFind, Bloodhound, PowerView, SoftPerfect NetScan, RClone, BITSAdmin, Brute Ratel C4, Cobalt Strike, Metasploit, PowerSploit sowie Fernwartungswerkzeuge wie AnyDesk, Atera, NetSupport, ScreenConnect, Splashtop, Supremo und Quick Assist.

Schutzmaßnahmen

Da der Erstzugang über Spear-Phishing mit präparierten, passwortgeschützten ZIP-Anhängen erfolgt, sollten eingehende E-Mails und Anhänge gefiltert sowie Office-Makros in .doc-, .xls- und .pdf-Dokumenten eingeschränkt werden. Die Ausführung von PowerShell und Windows Management Instrumentation sollte protokolliert und über Anwendungssteuerung begrenzt werden, ebenso der Einsatz von PsExec. Neu angelegte Konten und deren Aufnahme in die Administratorgruppe sowie unerwartet erstellte Windows-Dienste sollten überwacht werden. Änderungen an Gruppenrichtlinien sollten kontrolliert und alarmiert werden. Der Einsatz legitimer Fernwartungswerkzeuge wie AnyDesk, Atera, ScreenConnect oder Quick Assist sollte unterbunden oder streng eingeschränkt werden, und ein ungewöhnlicher ausgehender Datenverkehr durch RClone sollte erkannt werden.