Cybersicherheitsexperten von Rapid7 haben eine signifikante Weiterentwicklung in der Angriffsstrategie der Ransomware-Gruppe Black Basta identifiziert. Die Cyberkriminellen setzen seit Oktober 2024 verstärkt auf eine Kombination aus Social Engineering und ausgefeilter Schadsoftware wie Zbot und DarkGate, was eine besorgniserregende Evolution ihrer Taktiken darstellt. MITRE ATT&CK dokumentiert die bekannten Techniken und Taktiken von Black Basta.
Innovative Angriffsstrategie durch Email-Bombing und Teams-Kommunikation
Die neue Vorgehensweise der Gruppe beginnt mit einer massiven Spam-Email-Kampagne gegen das Zielsystem — häufig Tausende von Nachrichten in kurzer Zeit, um das Opfer zu überfluten und dessen Urteilsvermögen zu beeinträchtigen. In einem raffinierten zweiten Schritt kontaktieren die Angreifer ihre Opfer über Microsoft Teams, wobei sie sich als IT-Support-Mitarbeiter ausgeben. Diese Kombination aus technischem und psychologischem Druck erhöht die Erfolgsaussichten der Angriffe erheblich.
Ausgefeilte Social Engineering Techniken
Die Angreifer nutzen sowohl legitime Azure/Entra-Domains als auch speziell präparierte Domains für ihre Täuschungsmanöver. Sie überzeugen ihre Opfer, vermeintlich legitime Remote-Access-Tools wie AnyDesk, ScreenConnect oder TeamViewer zu installieren. Diese Software dient als Einfallstor für weitere Schadsoftware. Der Einsatz echter Microsoft-Infrastruktur macht es für Mitarbeiter besonders schwer, den Angriff zu erkennen.
Technische Innovation durch QR-Codes und OpenSSH
Ein besonders bemerkenswerter Aspekt der neuen Strategie ist der Einsatz von QR-Codes als Angriffsvektor. Nach Erkenntnissen von ReliaQuest werden diese Codes genutzt, um Opfer auf kompromittierte Websites zu leiten. Die Verwendung von OpenSSH für Reverse-Shell-Verbindungen demonstriert das hohe technische Niveau der Angreifer und ermöglicht es ihnen, Netzwerk-Monitoring zu umgehen, das auf klassische C2-Protokolle ausgerichtet ist.
Wer ist besonders gefährdet
Black Basta richtet seine Angriffe gezielt auf Organisationen mit spezifischen Charakteristika:
- Unternehmen mit aktiven Microsoft Teams-Umgebungen und ohne strikte Richtlinien für externe Kommunikation
- Organisationen, deren IT-Helpdesk-Prozesse keine Verifizierung der Nutzeridentität vor Remote-Sitzungen vorschreiben
- Mittelständische Unternehmen mit weniger ausgereiften Security-Awareness-Programmen
- Firmen in Branchen mit hohem Schadenspotenzial: Gesundheitswesen, Fertigung, kritische Infrastruktur
- Unternehmen mit VPN-Zugängen ohne MFA, da Black Basta gezielt VPN-Konfigurationsdaten stiehlt
Ziele und Auswirkungen der Cyberangriffe
Nach erfolgreicher Infiltration installieren die Angreifer zusätzliche Malware-Komponenten für die Erfassung von Zugangsdaten und sensiblen Informationen. Besonders kritisch ist das gezielte Abgreifen von VPN-Konfigurationsdaten, die weitere Systemkompromittierungen ermöglichen. Die seit April 2022 aktive Gruppe hat bereits Rheinmetall, Hyundai Europe und die American Dental Association erfolgreich angegriffen.
Schutzmaßnahmen gegen Black Basta-Angriffe
- Microsoft Teams so konfigurieren, dass externe Nutzer nicht direkt mit Mitarbeitern kommunizieren können, ohne explizite Freigabe durch den Empfänger
- Helpdesk-Verifizierungsprotokoll einführen: Vor jeder Remote-Sitzung Rückruf an verifizierte Telefonnummer des Mitarbeiters
- Mitarbeiterschulungen mit simulierten Teams-Phishing-Angriffen und QR-Code-Szenarien durchführen
- Multi-Faktor-Authentifizierung für alle VPN-Zugänge und privilegierten Konten verpflichtend aktivieren
- Installation von Remote-Access-Tools durch nicht-administrative Nutzer technisch unterbinden
Cybersicherheitsexperten sehen deutliche Parallelen zu den Vorgehensweisen der berüchtigten Conti-Gruppe. Eine vollständige Übersicht der von Black Basta eingesetzten ATT&CK-Techniken hilft Sicherheitsteams bei der gezielten Konfiguration von Detection-Regeln.
