Woche 44: «Black Basta» - Mittels Spam zur Verschlüsselung: Ausgeklügelte Angriffsvariante auf Unternehmen

05.11.2024 - Ein Fall, der dem BACS letzte Woche gemeldet wurde, zeigt exemplarisch, wie die Ransomware-Gruppierung «Black Basta» vorgeht, um Unternehmen mit Ransomware zu infizieren. In einem ersten Schritt werden dem Opfer massenhaft Spam-E-Mails gesendet. Anschliessend melden sich falsche Support-Mitarbeiter über Microsoft Teams und über Telefon, um den Schaden vermeintlich  zu beheben. Die falschen Support-Mitarbeiter wollen auf den Computer zugreifen, um Schadsoftware zu installieren.

Neben Angriffsvektoren wie dem Ausnutzen von Schwachstellen oder dem Knacken von schwachen Passwörtern wird nach wie vor häufig versucht, Schadsoftware durch Interaktion mit den Internetnutzerinnen und -nutzern zu installieren. Die Angreifer erschleichen sich dazu das Vertrauen ihrer Opfer und bringen sie dazu, die Schadsoftware zu installieren. Eine E-Mail mit Anhang und der Aufforderung, diesen zu öffnen, reicht in vielen Fällen aber nicht mehr aus. Im Wochenrückblick 2024/43 hat das BACS bereits darüber berichtet, wie Betrüger auf die verstärkte Verwendung von Sicherheitsmassnahmen wie der Zwei-Faktor-Authentifizierung reagieren und diese auszuhebeln versuchen.

Gleiches gilt für Angreifer, die Schadsoftware verbreiten wollen. Auch in Sachen Schadsoftware hat sich bei der Sicherheit in den letzten Jahren einiges getan. Viele Betriebssysteme verfügen über integrierte Antivirenprogramme, automatische Updates oder integrierte Firewalls. Zudem werden die Nutzenden meist mehrfach gefragt, ob sie die Software wirklich installieren möchten und es wird auch angezeigt, ob die Software vertrauenswürdig ist. Dadurch ändern sich die Angriffsvarianten, um diese Sicherheitsmassnahmen zu umgehen. Eine besonders ausgeklügelte Methode, die gegen Unternehmen eingesetzt wird, wird von der Gruppe «Black Basta» angewendet. Ein exemplarischer Fall wurde dem BACS letzte Woche gemeldet.

Der Angriff beginnt mit dem Versand von Spam-E-Mails im Sekundentakt, im aktuellen Fall waren dies etwa 50 bis 100 E-Mails pro Minute. Dabei handelt es sich um Anmeldungen zu Newslettern oder Webshops, Aufforderungen zum Zurücksetzen von Passwörtern und vieles mehr. Ein solches so genanntes «E-Mail-Bombing» ist auch aus anderen Vorgehensweisen bekannt. Ziel kann es sein, den E-Mail-Eingang zu blockieren, aber auch von wichtigen E-Mails abzulenken, die dann in der E-Mail-Flut untergehen. In diesem Fall war die Absicht jedoch eine andere. Die Angreifer wollten die Benutzerinnen und Benutzer dazu bringen, Hilfe beim Helpdesk zu suchen.

E-Mail-Bombing: Das E-Mail-Konto des Opfers wird mit E-Mail-Nachrichten geflutet.
E-Mail-Bombing: Das E-Mail-Konto des Opfers wird mit E-Mail-Nachrichten geflutet.

In einem zweiten Schritt melden sich die Angreifer über Microsoft Teams beim Opfer und geben sich als Support- oder IT-Mitarbeiter der Firma aus. Diese falschen IT-Mitarbeiter verwenden vertrauenswürdige Namen wie «Help Desk», um das Vertrauen der Benutzenden zu gewinnen. Während diesen Chats versenden die Angreifer dann QR-Codes, die als legitime QR-Codes des Unternehmens getarnt sind. Da die Aufforderung vom vertrauenswürdigen Helpdesk kommt, ignorieren die Opfer auch allfällige Sicherheitswarnungen. Sollte das Opfer dennoch skeptisch werden, wird dieses vom Support-Mitarbeiter sogleich beschwichtigt. Wenn Benutzer diese QR-Codes scannen, laden sie unwissentlich Schadsoftware herunter, mit der die Angreifer Ransomware installieren und Netzwerke kompromittieren können.

Zusätzlich zu den Chats in Microsoft Teams nutzen die Angreifer auch Voice over IP (VoIP) Anrufe, um die Benutzerinnen und Benutzer weiter zu täuschen und sie dazu zu bringen, Fernwartungsprogramme herunterzuladen. Diese Tools geben den Angreifern direkten Zugriff auf die Systeme der Benutzenden.

Im aktuellen Fall steckte die Ransomware-Gruppe namens «Black Basta» hinter dem Angriff. «Black Basta» ist eine Gruppierung, die erstmals im April 2022 aufgetaucht ist. Sie nutzt das Modell «Ransomware-as-a-Service» (RaaS), bei dem die Ransomware als Dienstleistung im Darknet angeboten wird. Dies ermöglicht es auch weniger technisch versierten Kriminellen, Angriffe durchzuführen, indem sie die Ransomware mieten und einen Teil des Lösegelds an die Entwickler abgeben. Im Fall von «Black Basta» werden die Daten nicht nur verschlüsselt, sondern auch gestohlen. Die Opfer können damit doppelt erpresst werden. Die durch diese Ransomware verursachten Schäden sind auch in der Schweiz sehr gross.

Empfehlungen

  • Sensibilisieren Sie Ihre Mitarbeiterinnen und Mitarbeiter für diese Vorgehensweise;
  • In Unternehmen empfiehlt sich der Einsatz eines Applikations-Whitelistings wie «AppLocker». Viele solcher Angriffe laufen damit ins Leere;
  • Gestatten Sie niemandem einen Fernzugriff auf Ihren Computer. Sollten Sie Fernzugriff gewährt haben, besteht die Möglichkeit, dass Ihr Computer infiziert wurde. Lassen Sie Ihren Computer in diesem Fall von einem Spezialisten untersuchen.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 05.11.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/wochenrueckblick_44.html