Cybersicherheitsexperten von Rapid7 haben eine signifikante Weiterentwicklung in der Angriffsstrategie der Ransomware-Gruppe Black Basta identifiziert. Die Cyberkriminellen setzen seit Oktober 2024 verstärkt auf eine Kombination aus Social Engineering und ausgefeilter Schadsoftware wie Zbot und DarkGate, was eine besorgniserregende Evolution ihrer Taktiken darstellt.
Innovative Angriffsstrategie durch Email-Bombing und Teams-Kommunikation
Die neue Vorgehensweise der Gruppe beginnt mit einer massiven Spam-Email-Kampagne gegen das Zielsystem. In einem raffinierten zweiten Schritt kontaktieren die Angreifer ihre Opfer über Microsoft Teams, wobei sie sich als IT-Support-Mitarbeiter ausgeben. Diese Kombination aus technischem und psychologischem Druck erhöht die Erfolgsaussichten der Angriffe erheblich.
Ausgefeilte Social Engineering Techniken
Die Angreifer nutzen sowohl legitime Azure/Entra-Domains als auch speziell präparierte Domains für ihre Täuschungsmanöver. Sie überzeugen ihre Opfer, vermeintlich legitime Remote-Access-Tools wie AnyDesk, ScreenConnect oder TeamViewer zu installieren. Diese Software dient als Einfallstor für weitere Schadsoftware.
Technische Innovation durch QR-Codes und OpenSSH
Ein besonders bemerkenswerter Aspekt der neuen Strategie ist der Einsatz von QR-Codes als Angriffsvektor. Nach Erkenntnissen von ReliaQuest werden diese Codes genutzt, um Opfer auf kompromittierte Websites zu leiten. Die Verwendung von OpenSSH für Reverse-Shell-Verbindungen demonstriert das hohe technische Niveau der Angreifer.
Ziele und Auswirkungen der Cyberangriffe
Nach erfolgreicher Infiltration installieren die Angreifer zusätzliche Malware-Komponenten für die Erfassung von Zugangsdaten und sensiblen Informationen. Besonders kritisch ist das gezielte Abgreifen von VPN-Konfigurationsdaten, die weitere Systemkompromittierungen ermöglichen können.
Die seit April 2022 aktive Ransomware-Gruppe Black Basta hat bereits namhafte Organisationen wie Rheinmetall, Hyundai Europe und die American Dental Association erfolgreich angegriffen. Cybersicherheitsexperten sehen deutliche Parallelen zu den Vorgehensweisen der berüchtigten Conti-Gruppe, was auf eine mögliche Verbindung zwischen beiden Gruppierungen hindeutet. Organisationen wird dringend empfohlen, ihre Sicherheitsmaßnahmen zu verstärken, insbesondere durch intensive Mitarbeiterschulungen im Bereich Social Engineering-Abwehr und die Implementierung mehrstufiger Authentifizierungssysteme.
