Ransomware Black Basta zählt nach zwei Jahren weltweit über 500 Opfer
Das FBI teilt wichtige Fakten im Kampf gegen den Erpressungstrojaner Black Basta. Die Ransomware macht auch vor kritischen Infrastrukturen nicht halt.
Ransomware-Nachricht auf einem Laptop.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Drahtzieher der Black-Basta-Kampagne operieren weltweit und haben dem FBI zufolge innerhalb von zwei Jahren mehr als 500 Organisationen attackiert. In einem Beitrag zeigt die US-Sicherheitsbehörde aktuelle Trends des Verschlüsselungstrojaners auf und gibt Tipps, um Systeme vor Attacken zu rüsten und Angreifern auf die Spur zu kommen.
Hintergründe
In dem Bericht schreiben die Autoren, dass die Kriminellen neben Unternehmen auch kritische Infrastrukturen angreifen. Darunter sind auch Kliniken. Zurzeit zeichnet sich einem Beitrag des Health Information Sharing and Analysis Centers ab, dass die Attacken auf Krankenhäuser zunehmen.
Das FBI gibt an, dass die Kriminellen bislang 12 von 16 kritischen Infrastrukturen erfolgreich attackiert und Daten kopiert beziehungsweise verschlüsselt haben. Das dient als Druckmittel, um Lösegeld zu fordern. Zahlen Opfer nicht, drohen die Kriminellen, die Daten zu veröffentlichen. Das hat Black Basta mittlerweile mehr als 100 Millionen US-Dollar Umsatz beschert.
Die Bande ist seit April 2022 aktiv und attackiert weltweit unter anderem Unternehmen. In Deutschland hat es etwa den Rüstungskonzern Rheinmetall erwischt. Black Basta arbeiten als Ransomware-as-a-Service (Raas). Das bedeutet, dass Dritte den Schädling für eigene Kampagnen nutzen können. Die Hinterleute kassieren Provisionen.
Hinweise auf Attacken
Im weiteren Verlauf des Berichts zeigen die Autoren auf, wie die Kriminellen sich auf Computern einnisten. Admins sollten die Abschnitte genau lesen und die Tipps zur Absicherung gegen solche Attacken befolgen.
In der Regel beginnen Attacken mit Phishingmails, die derzeit über das Qakbot-Botnet verbreitet werden. In einigen Fällen setzen sie aber auch an Sicherheitslücken in der IT-Management-Software ConnectWise (CVE-2024-1709 "kritisch") an. Demzufolge sollten Admins stets Sicherheitsupdates installieren.
Weiterhin listet das FBI auf, welche Tools die Angreifer bei Attacken einsetzen und welche Spuren sie dabei auf Computern hinterlassen. Admins sollten sich diese Hinweise auf bereits erfolgte Attacken (Indicator of Compromise, IOC) genau anschauen, abgleichen und entsprechend handeln.
(des)
