Geleakte Angreifer-Chat-Protokolle zeigen erhebliche Sicherheitslücken in den Unternehmensnetzwerken

Ein kürzliches Datenleck hat die internen Chat-Protokolle der Ransomware-Gruppe Black Basta offengelegt und zeigt alarmierende Sicherheitslücken in Unternehmensnetzwerken auf. Die geleakten Informationen bieten seltene Einblicke in die Angriffstaktiken der Gruppe und verdeutlichen gravierende Schwachstellen, die von Cyberkriminellen gezielt ausgenutzt werden.

Zielgerichtete Angriffe auf bekannte Schwachstellen und Fehlkonfigurationen

Black Basta nutzt systematisch ungeschützte RDP-Server, schwache Authentifizierungsmechanismen sowie öffentlich bekannte Schwachstellen (CVEs), um in Systeme einzudringen. Besonders kritisch ist der Einsatz von Malware-Droppern, die als harmlose Dateien getarnt sind, sowie das Scannen nach ungeschützten VPN-Diensten. Ein weiteres Hauptziel der Gruppe sind Fehlkonfigurationen in gängigen Unternehmensanwendungen wie Jenkins CI/CD, VMware ESXi und Citrix-Gateways.

Gefährdung durch langsame Reaktion und unzureichendes Patch-Management

Die Analyse zeigt, dass Black Basta bekannte Schwachstellen aggressiv ausnutzt, wenn Systeme nicht zeitnah gepatcht werden. Die Hackergruppe kann innerhalb weniger Stunden eine komplette Netzwerkkompromittierung erreichen. Dadurch bleibt Unternehmen kaum Zeit zur Reaktion, was das Risiko von Datenverlust und Erpressung erheblich erhöht.

Kritische Fehlkonfigurationen, die sofort behoben werden müssten:

Erpressung und raffinierte Angriffsstrategien

Neben technischen Schwachstellen setzt Black Basta auf Social Engineering und Voice Phishing, um an Anmeldedaten zu gelangen. Mitglieder der Gruppe geben sich als IT-Support aus, um Mitarbeiter zur Preisgabe sensibler Informationen zu verleiten. Darüber hinaus werden legitime Filesharing-Plattformen missbraucht, um bösartige Nutzlasten unauffällig zu verteilen.

Das anfängliche Zugriffsproblem

Black Basta verfolgt einen mehrschichtigen Ansatz, der den Diebstahl von Anmeldedaten, die Ausnutzung von Diensten (z. B. RDP-Brute-Force), Social Engineering und Hartnäckigkeit umfasst. Sie beschaffen sich Anmeldedaten durch Phishing, Kompromittierung der Lieferkette, Einkäufe im Darknet und durch das Auffinden exponierter Dienste mithilfe von Tools wie Shodan oder Fofa (automatisierte Scanner), gefolgt von Brute-Force-Angriffen auf zugängliche Anmeldeportale (z. B. RDP). Interne Mitteilungen bestätigen mehrere Taktiken, um einen ersten Fuß in die Tür zu bekommen.

Dieser mehrstufige Ansatz umfasst:

• Ausnutzung exponierter Dienste und Fehlkonfigurationen: Sie suchen aggressiv nach Schwachstellen mit Internetverbindung, insbesondere in Jenkins CI/CD-Instanzen, VMware ESXi-Hosts, Citrix-Gateways und VPNs mit schwachen Anmeldedaten.
• Missbrauch von Drittanbieterdiensten für das Hosting von Nutzlasten: Um nicht entdeckt zu werden, nutzen sie legitime Filesharing-Plattformen wie transfer.sh, temp.sh und send.vis.ee für das Hosting bösartiger Nutzlasten, wodurch der Bedarf an einer maßgeschneiderten Infrastruktur reduziert wird.
• Datenextraktion, Social Engineering und Voice Phishing: Vor dem Einsatz von Ransomware archivieren und extrahieren sie ganze Dateiverzeichnisse. In internen Chats wird erwähnt, dass sie auf Rechts- und Finanzdokumente abzielen und ein maßgeschneidertes Tool zur Automatisierung der Datenextraktion verwenden. Über E-Mail-Phishing hinaus geben sich Mitglieder von Black Basta per Telefonanruf als IT-Supportmitarbeiter aus und bringen Mitarbeiter dazu, ihre Anmeldedaten preiszugeben.

Ransomware-Gruppen lassen sich nicht mehr viel Zeit, sobald sie in das Netzwerk eines Unternehmens eingedrungen sind. Die durchgesickerte Daten von Black Basta zeigen, dass sie innerhalb von Stunden – manchmal sogar Minuten – vom ersten Zugriff zur netzwerkweiten Kompromittierung übergehen.

Ransomware-Betreiber beschleunigen ihre Angriffe und lassen Organisationen nur wenig Zeit, um zu reagieren. Um weitreichende Schäden zu verhindern, ist es wichtig, bekannte ausgenutzte Schwachstellen proaktiv zu erkennen und die Angriffsfläche zu minimieren. Je länger Sie warten, desto wahrscheinlicher ist es, dass Angreifer Daten exfiltrieren und Ihre Umgebung sperren. In vielen Fällen führen automatisierte Skripte nach der Ausnutzung Aufgaben aus, wie das Abgreifen von Anmeldedaten, das Deaktivieren von Sicherheitstools und das Bereitstellen von Ransomware.

Hilfestellung und Lösungen von Qualys

Die jüngste Veröffentlichung der internen Chat-Protokolle der Ransomware-Gruppe Black Basta hat beispiellose Einblicke in ihre Arbeitsweise, Tools und Taktiken ermöglicht. Die Produktpalette von Qualys entspricht perfekt den von uns hervorgehobenen kritischen Empfehlungen und bietet einen einheitlichen Ansatz für Cyber Security.

Die Lösung CyberSecurity Asset Management (CSAM)  bietet vollständige Transparenz der Assets, was der erforderlichen umfassenden Asset-Erkennung entspricht. Qualys Patch Management  bietet eine fortschrittliche automatisierte Lösung für zeitnahe Software-Updates. Qualys VMDR  optimiert die Erkennung, Bewertung und Priorisierung von Schwachstellen. Mit der TruRisk-Bewertung hebt die Plattform das Schwachstellenmanagement auf die nächste Stufe, indem sie eine risikobasierte Priorisierung einführt, die zu effektiveren Cybersicherheitsmaßnahmen führt.

Die Lösungen sind darauf ausgelegt, die von Black Basta angewandten Taktiken, Techniken und Verfahren (TTPs) zu erkennen und zu entschärfen. Dazu gehören aus den geleakten Protokollen abgeleitete Kompromittierungsindikatoren (IOCs) und Angriffsindikatoren (IOAs), wie z. B. IP-Adressen, Domains und Malware-Hashes, die von der Gruppe verwendet werden.

Das Qualys Bedrohungsforschungsteam analysiert aktiv neu aufkommende Daten, einschließlich der geleakten Black-Basta-Protokolle. So können neuartige IOCs identifiziert und Erkennungsmechanismen in Echtzeit angepasst werden.

VMDR QQL für Black Basta

Die Qualys Query Language (QQL) ist ein leistungsstarkes Suchwerkzeug innerhalb von VMDR (Vulnerability Management, Detection, and Response), das Sicherheitsteams dabei unterstützt, Schwachstellen schnell zu identifizieren und zu priorisieren. Mit QQL for Black Basta können Sie Ihre Umgebung sofort abfragen, um Assets zu erkennen, die durch Ransomware-CVEs, Fehlkonfigurationen und Sicherheitslücken gefährdet sind. Dies ermöglicht eine schnellere Behebung und risikobasierte Priorisierung und hilft Unternehmen, den Bedrohungen wie Black Basta immer einen Schritt voraus zu sein.