Was ist BlackCat-Ransomware?

BlackCat-Ransomware, auch bekannt als Noberus- oder ALPHV-Ransomware, ist eine Art von Malware, die von einer Gruppe russischsprachiger Cyberkrimineller entwickelt wurde. Es wird angenommen, dass mehrere Mitglieder dieser Gruppe Verbindungen zu Darkside und BlackMatter haben, zwei Ransomware-Gruppen, die jetzt nicht mehr aktiv sind. Seit ihrem ersten Einsatz im Jahr 2021 ist BlackCat eine der aktivsten Formen von Ransomware geworden. Der Betrieb einer neuen Variante namens „Sphynx“ ist vermutlich noch schneller und effizienter. BlackCat wird in der Programmiersprache Rust geschrieben und ist schwieriger zu entfernen als andere Arten von Ransomware. Zu den Opfern der BlackCat-Ransomware-Angriffe gehören Unternehmen aus den Bereichen Bau, Fertigung, Energie, Gesundheitswesen, Technologie, und Einzelhandel.

Cyberkriminelle, die BlackCat verwenden, erhalten auf verschiedene Weise Zugriff auf IT-Umgebungen und Nutzerkonten. Diese Möglichkeiten können Remote-Desktopprotokolle, kompromittierte Anmeldedaten und Schwachstellen bei Exchange-Servern umfassen. Einige setzen auf Google-Anzeigen, die für gefälschte Downloads gängiger Software werben. Wenn Nutzer auf einen Link klicken, laden sie Malware statt legitimer Software herunter. Sobald die Malware-Payload Geräte innerhalb eines Netzwerks infiziert hat, können Cyberkriminelle damit Dateien und Daten auf Servern und einzelnen Computern verschlüsseln und Nutzern den Zugriff darauf verwehren. BlackCat-Gruppen können auch vertrauliche Daten extrahieren, bevor sie sie verschlüsseln. Die Gruppen könnten dann mit Preisgabe der Daten drohen, wenn das Lösegeld nicht bezahlt wird.

Die BlackCat-Ransomware-Familie unterscheidet sich von anderen Arten von Ransomware-Angriffen – und das aus mehreren wichtigen Gründen.

• Ransomware as a Service. BlackCat arbeitet auf Basis eines RAAS-Modells (Ransomware as a Service). Hierbei erlauben die Erfinder der Malware es anderen Gruppen, die Malware zu verwenden. Sie erhalten im Gegenzug einen Prozentsatz des Lösegelds.
• Höhere Auszahlung. Die Hacker hinter BlackCat bieten Kriminellen, die die Software als Partner nutzen, eine Auszahlung von 80 % bis 90 % – mehr als die übliche Auszahlung von 70 %.
• Neue Programmiersprache. BlackCat ist die erste Ransomware-Variante, die in Rust geschrieben wurde. Dabei handelt es sich um eine schnelle, stabile und sichere Programmiersprache, die sowohl auf Windows- als auch auf Nicht-Windows-Systemen wie Linux und virtuellen Maschinen in VMware-Instanzen ausgeführt werden kann. Bislang sind nur wenige Malware-Arten auf Linux-basierte Systeme ausgerichtet. Sicherheitsteams, die Linux-basierte Umgebungen verwalten, sind daher weniger darauf vorbereitet, auf diese verheerenden Cyberangriff zu reagieren. Da viele Sicherheitslösungen bei der Bedrohungsanalyse, die in Rust und anderen modernen Programmiersprachen geschrieben wurden, weniger effektiv sind, ist es für einige Sicherheitstools schwieriger, BlackCat zu erkennen und abzuwehren.
• Anpassbarkeit. BlackCat-Betreiber können die Ransomware so anpassen, dass sie in verschiedenen Betriebssystemen funktioniert, wodurch das Spektrum möglicher Ziele erweitert wird. Die Betreiber können zwischen verschiedenen Verschlüsselungsalgorithmen wählen, die Lösegeldnotiz anpassen, Dateien angeben, die ignoriert werden sollen, und bestimmte Services und Prozesse auswählen, die beendet werden sollen.
• Dreifache Bedrohung. Cyberkriminelle, die BlackCat verwenden, setzen oft dreifache Erpressungstaktiken ein und fordern ein Lösegeld, um infizierte Dateien zu entschlüsseln, diese gestohlenen Daten nicht zu veröffentlichen und keinen DoS- (Denial of Service) oder DDoS-Angriff (Distributed Denial of Service) gegen das Ziel auszuführen.
• Öffentliche Website für Leaks. Die Gruppe hinter BlackCat hat eine Website im öffentlich zugänglichen Internet erstellt, auf der Daten erfolgreicher Angriffe veröffentlicht wurden. Dies erhöht sowohl die Sichtbarkeit von BlackCat-Ransomware-Operationen bei Cyberkriminellen als auch die Bereitschaft der Opfer, auf die Erpressung einzugehen und das Lösegeld zu zahlen.

Es gibt mehrere Anzeichen dafür, dass bei einem Ransomware-Angriff BlackCat-Malware zum Einsatz kommt. Zu den Indicators of Compromise (IOCs) gehören Datei-Hash-Signaturen, CnC-IP-Adressen (Command and Control) und bestimmte Domains, die vom FBI und anderen Analysen gelistet wurden. BlackCat-Angriffe verwenden in der Regel eine einzigartige oder angepasste Lösegeldforderung. Diese enthält einen Link zu einer einzigartigen Tor-Website, auf der sich Beweise für Daten befinden, die zuvor extrahiert und erpresst wurden. BlackCat fügt den verschlüsselten Dateien in jeder Kampagne eindeutige und zufällige Erweiterungen hinzu und erstellt in jedem Verzeichnis, das gestohlene Dateien enthält, eine Datei namens „RECOVER-<random>-NOTES.txt“.

Dieselben Methoden und Kontrollmechanismen, die zur Verhinderung anderer Arten von Cyberkriminalität und Ransomware-Angriffen verwendet werden, können gegen BlackCat-Angriffe effektiv sein.

• Mikrosegmentierung. Durch die strikte Beschränkung des Zugriffs auf einzelne IT-Ressourcen oder kleine Unterbereiche eines Netzwerks kann eine softwaredefinierte Mikrosegmentierung die Art lateraler Netzwerkbewegungen verhindern, die für Ransomware-Angriffe unerlässlich sind.
• Schulungen zum Sicherheitsbewusstsein. Die Schulung von Mitarbeitern ist eine wichtige Maßnahme für das Verhindern von Ransomware-Angriffen. Die Sensibilisierungsschulung sollte Best Practices für Sicherheitshygiene sowie Möglichkeiten zur Erkennung von Phishing-E-Mails und anderen gängigen Techniken für die Verbreitung von Ransomware umfassen.
• Verschlüsselung. Durch Verschlüsselung können Unternehmen verhindern, dass Ransomware-Angreifer vertrauliche Daten stehlen und offenlegen.
• Strenge Identitäts- und Zugriffskontrolle. Durch Implementierung sicherer Passwörter und Techniken wie Multifaktor-Authentifizierung können Unternehmen stark einschränken, wer Daten anzeigen oder ändern darf. Dies reduziert das Risiko und den Umfang einer BlackCat-Ransomware-Infektion.
• Backups. Regelmäßige Daten-Backups ermöglichen es Unternehmen, sich schnell von einer Ransomware-Infektion zu erholen, ohne Lösegeld zahlen zu müssen oder Dateien dauerhaft zu verlieren. Backups müssen an einem sicheren Ort gespeichert werden, der nicht mit internetfähigen Computern oder dem Netzwerk verbunden ist. Nur so lässt sich verhindern, dass diese Speicherorte infiziert werden.
• Optimale Frequenz für Patches. Die regelmäßige Installation von Updates und Sicherheitspatches kann dazu beitragen, die Schwachstellen in Hardware, Anwendungen und APIs zu beheben, die Angreifer andernfalls ausnutzen könnten.
• Kontinuierliche Überwachung.Netzwerkadministratoren sollten den ein- und ausgehenden Traffic kontinuierlich überwachen, um nach ungewöhnlichen Mustern zu suchen, die auf Ransomware oder andere Arten von Cyberangriffen hinweisen können.
• Endpoint-Sicherheit. Sicherheitsservices für Endpoints bieten Schutz auf Geräteebene, um Angriffe zu erkennen und zu blockieren.
• Sichere Cloudservices. Bei der Wahl von Cloudservice-Providern müssen Unternehmen sicherstellen, dass Sicherheitsteams das Modell der geteilten Verantwortung für die Sicherheit verstehen, das in vielen Cloudservices enthalten ist, und dass Anbieter anerkannte Standards und Qualitäts-Frameworks einhalten, wie z. B. PCI DSS oder die FedRAMP-Zertifizierung.
• Schutz vor Datenlecks (DLP). DLP-Lösungen ermöglichen eine detaillierte Klassifizierung von Daten basierend auf der Vertraulichkeit. Sie können Sicherheitsteams in Echtzeit benachrichtigen, wenn potenzielle Ransomware-Vorfälle oder Datenextraktionen auftreten.