Geleakte Credentials von Mitarbeitenden: Wie Black Basta in Netzwerke eindringt

Autor
Nadine Eberle
Veröffentlicht
02. Mai 2024

Unser CSIRT beschäftigt sich derzeit mit beunruhigenden Vorfällen, die auffällige Parallelen aufweisen. Die betroffenen Unternehmen haben uns alarmiert, als ihre Antiviren-Software eine Verschlüsselungsaktivität meldete. In einem anderen Incident hat das betroffene Unternehmen vom zuständigen Bundeskriminalamt (BKA) die Information erhalten, Dateien seien im Darknet aufgetaucht, welche Rückschlüsse zum Unternehmen zulassen würden. Das CSIRT konnte rechtzeitig eingreifen, das Unternehmen vor einer Verschlüsselung bewahren und so den Schaden minimieren. Warum und wie Sie jetzt aktiv werden sollten, erfahren Sie in diesem Artikel.

Black Basta: Ransomware-as-a-Service

Black Basta ist eine der neueren Varianten von Ransomware, die aktuell das Internet heimsuchen. Die Gruppierung greift nicht nur selbst Unternehmen an, sondern bietet ihre Ransomware als Service anderen Cyber-Kriminellen an. Die bösartige Software verschlüsselt Dateien auf einem infizierten Computer, um gegen die Herausgabe der Entschlüsselungsschlüssel Lösegeld zu erpressen. Nicht nur die Verschlüsselung der gesamten IT-Infrastruktur stellt eine Gefahr für Unternehmen dar, sondern auch die Exfiltration diverser Daten. Vor allem personenbezogene Daten wie Ausweisdokumente werden gerne als Druckmittel für die Lösegeldforderung eingesetzt.

Wie treten Angreifer mit ihren Opfern in Kontakt? Black Basta hinterlässt eine Ransomnote auf den verschlüsselten Systemen, die einen Link zu einem Chat-Portal im Darknet enthalten. In diesem Chat wird dann über die Höhe der Lösegeldforderung informiert. Meist orientiert sich diese prozentual am Umsatz des angegriffenen Unternehmens. Die geforderte Summe muss in Kryptowährung wie Bitcoin bezahlt werden, um die Identität des Erpressers zu verschleiern. Bei Zahlung wird die Decryption Software zur Verfügung gestellt, die gestohlenen Dateien werden nicht veröffentlicht und die Opfer erhalten die Zusage, das Unternehmen nicht wieder anzugreifen. 

Um sich vor Black Basta und anderen Formen von Ransomware zu schützen, ist es wichtig, Sicherheitsbewusstsein zu schaffen und bewährte Sicherheitspraktiken zu befolgen.

Nachfolgend einige der wichtigsten Sicherheitsmassnahmen:

  • Regelmässige Sicherheits-Updates für Betriebssysteme und Anwendungen
  • Vorsicht beim Öffnen von E-Mail-Anhängen oder Klicken auf Links unbekannter Herkunft
  • Die Verwendung von Antiviren- und Anti-Malware-Software
  • Der Einsatz von Multifaktor-Authentifizierung
  • Periodisch erzwungenes Ändern von User Credentials
  • Regelmässige Sicherung wichtiger Dateien auf sicheren, externen Laufwerken (Offline-Backups) oder in der Cloud. Wichtig ist dabei speziell bei Cloudbackups, dass der Angreifer aus der laufenden Infrastruktur nicht auf die Backups zugreifen kann.

Taktiken, Techniken und Prozeduren (TTP): Brute Force und andere Eintrittsvektoren

Auf der Suche nach den Taktiken, Techniken und Prozeduren (TTP), dem Ursprung der Kompromittierung (Patient Zero) sowie der forensischen Analyse manipulierter Infrastrukturen stellte das CSIRT in den letzten Wochen in mehreren Fällen denselben Einfallsweg zur initialen Kompromittierung fest.

Die Angreifer haben sich den Zugang zu den Netzwerken durch die Credentials von Mitarbeitenden verschafft. Diese waren ohne nennenswerte Probleme im Darknet zu finden, wie das Threat-Intelligence-Team bestätigen konnte. Mithilfe der gestohlenen Zugangsdaten, die teils schon seit mehreren Jahren geleakt waren, verschaffte sich Black Basta über das VPN der Unternehmen den Zutritt. Die Anmeldung beim VPN war nicht mit einem weiteren Faktor (Multifaktor-Authentifizierung) versehen.

Unglücklicherweise wurden die Mitarbeitenden in den Unternehmen nicht zu regelmässigen Passwort-Änderungen gezwungen. Das führte dazu, dass sich die Angreifer mit Zugangsdaten, welche seit vier Jahren nicht aktualisiert wurden, Zutritt zu fremden Infrastrukturen verschaffen konnten.

Info-Stealer im Fokus

Wie gelangen Zugangsdaten, bestehend aus Benutzernamen und Passwort, so häufig ins Darknet? Die Antwort auf diese Frage sind Information-Stealer. Das sind Formen von Malware, die in der Regel zusammen mit ausführbaren Dateien installiert werden, die aus nicht vertrauenswürdigen Quellen stammen. Diese Stealer exportieren dann Benutzernamen und Passwörter aus Browsern, Passwort-Safes und manchmal sogar aus dem Speicher des Computers. Einige Diebe machen auch Screenshots vom infizierten Computer und laden den Inhalt des Desktop-Ordners oder der Ordner-Struktur des geleakten Benutzers hoch. Gelegentlich enthalten diese Uploads auch wertvolle, sensible Daten. Anschliessend werden diese Daten im Darknet zum Kauf angeboten. Der Kaufpreis bewegt sich dabei im einstelligen bis zum niederen zweistelligen Dollar-Bereich.

Neben den TTPs sind Brute-Force-Angriffe eine weitere oft genutzte Methode, bei der ein Angreifer systematisch alle möglichen Kombinationen von Benutzernamen und Passwörtern ausprobiert, um Zugang zu einem geschützten System zu erhalten. Dieser Angriff kann verwendet werden, um Zugangsdaten für verschiedene Dienste wie E-Mail-Konten, soziale Medien, Online-Banking und mehr zu hacken.

Der Prozess eines Brute-Force-Angriffs ist ziemlich einfach: Der Angreifer verwendet automatisierte Skripte oder Tools, um möglichst viele Kombinationen von Benutzernamen und Passwörtern aus einer vordefinierten Liste oder durch Generieren zufälliger Zeichenfolgen zu versuchen. Cyber-Kriminelle wenden diese Kombination nacheinander auf das Zielkonto an, in der Erwartung, die richtigen Zugangsdaten zu finden.

Um grundsätzlich den Missbrauch von Credentials zu erschweren, wird die Verwendung langer und komplexer Passwörter, welche Buchstaben, Zahlen und Sonderzeichen enthalten, empfohlen. 

  • Implementierung von Mechanismen zur Kontosperrung nach mehreren fehlgeschlagenen Anmeldeversuchen, um die Anzahl der Versuche einzuschränken.
  • Multi-Faktor-Authentifizierung (MFA) verwenden.
  • Überwachung von Anmeldeaktivitäten und verdächtigen Zugriffsversuchen, um potenzielle Angriffe frühzeitig zu erkennen.
  • Schulung der Benutzer im Unternehmen, um Sicherheitsbewusstsein zu entwickeln.
  • Best Practices für Passwortsicherheit und Zugriffssteuerung implementieren, damit das Risiko von erfolgreichen Brute-Force-Angriffen erheblich reduziert wird.

Darknet-Untersuchung zur Prävention gegen Cyber-Bedrohung

Ersparen Sie Ihrem Unternehmen dieses Schicksal. Die InfoGuard bietet Unternehmen die Möglichkeit einer Darknet-Untersuchung durch das Threat-Intelligence-Team und findet für Sie passende Gegenmassnahmen zur Prävention und Angriffsabwehr.

Mittels Darknet-Untersuchung suchen wir für Sie nach allfällig entwendeten und in Darknet-Marktplätzen feilgebotenen Credentials im Zusammenhang mit Stealern.

Lassen Sie sich von unseren Cyber-Defence-Expert*innen beraten.

Darknet-Untersuchung

Darknet-Monitoring: Das umfassende Frühwarnsystem für Unternehmen

Das Darknet-Monitoring liefert die optimale Grundlage für Ihre Business Intelligence und den proaktiven Schutz Ihrer Unternehmenswerte. Unsere Security-Analysten aus dem InfoGuard Cyber Defence Center identifizieren frühzeitig Bedrohungen für Ihr Unternehmen, die Netzwerke, Systeme, Applikationen und Services und sprechen konkrete Empfehlungen für effektive Gegenmassnahmen aus.

Darüber hinaus erhalten Sie wichtige Erkenntnisse und Massnahmen für eine gezielte Prävention, Abwehr und Reaktion.

  • Erarbeitung der spezifischen, risikobasierten Bedrohungslage für Ihr Unternehmen speziell auf Ihre Branche abgestimmt.
  • Kundenspezifische und systematische Überwachung im Darknet, Tor-Netzwerken, Hacker-Foren, Internet, Blogs, Social Media, IRC Channels, etc.
  • Gezielte Suche nach Ihren digitalen Spuren, Dokumenten, Anwendungen, Passwörter, Kreditkarten, Angriffsvektoren, Malware und Cyber-Kampagnen.
  • Analyse und Auswertung von Cyber Threat Intelligence Feeds.
  • Fundierte Cyber-Threat-Intelligence-Analysen mit realtime Alerting und Eskalation.
  • Periodisches Management-Reporting zeigt Ihre aktuelle Risikosituation sowie Veränderungen in der Bedrohungslage auf.

Aktuelle Analysen unseres CSIRT zeigen: Die Entwicklungen um die Black Basta-Angebote im Darknet sind mehr als beunruhigend. Daher unsere Empfehlung: Handeln Sie jetzt!

Informieren Sie sich frühzeitig, damit Sie rechtzeitig agieren können. Gerne beraten wir Sie entsprechend Ihren individuellen Bedürfnissen.
Cyber Defence Services

Möchten Sie die News zu Trends, Innovationen und Technologien aus erster Hand erfahren? Dann abonnieren Sie doch gleich unsere Blog-Updates und bleiben Sie stets auf dem neuesten Stand.

Jetzt Blog-Updates abonnieren
Artikel teilen