Ein Cyberangriff stellt einen absichtlichen und schädlichen Versuch dar, unbefugten Zugriff auf ein Computersystem oder ein Netzwerk zu erlangen, indem bestehende Schwachstellen ausgenutzt werden. Das Ziel solcher Angriffe ist oft der Diebstahl vertraulicher Daten und die Unterbrechung normaler Betriebsaktivitäten.
In jüngster Zeit hat sich Ransomware zu einer bevorzugten Methode für Cyberkriminelle entwickelt. Diese Schadsoftware verbreitet sich üblicherweise über verschiedene Kanäle, darunter Phishing-E-Mails, sogenannte Drive-by-Downloads, raubkopierte Software und das Remote-Desktop-Protokoll.
Sobald ein Computer mit Ransomware infiziert ist, verschlüsselt diese wichtige Dateien auf dem System. Anschließend fordern die Angreifer ein Lösegeld für die Freigabe der verschlüsselten Daten.
Cyberattacken können die nationale Sicherheit eines Staates gefährden, den Betrieb in wichtigen Wirtschaftszweigen lähmen und erhebliche Schäden und finanzielle Verluste verursachen. Ein prägnantes Beispiel hierfür ist der WannaCry-Ransomware-Angriff.
Am 12. Mai 2017 verbreitete sich die Ransomware WannaCry, mutmaßlich aus Nordkorea stammend, weltweit und infizierte innerhalb von zwei Tagen über 200.000 Computersysteme in mehr als 150 Ländern. WannaCry zielte auf Computersysteme mit dem Windows-Betriebssystem ab und nutzte eine Schwachstelle im Server Message Block-Protokoll (SMB) des Betriebssystems aus.
Eines der größten Opfer des Angriffs war der National Health Service (NHS) des Vereinigten Königreichs. Über 70.000 seiner Geräte, darunter Computer, Operationssäle, Diagnosegeräte und MRT-Scanner, wurden infiziert. Ärzte hatten keinen Zugriff mehr auf ihre Systeme oder Patientenakten, die für die Behandlung von Patienten unerlässlich waren. Dieser Angriff kostete den NHS fast 100 Millionen Dollar.
Solche Ereignisse zeigen das enorme Schadenspotenzial. Die Situation kann sich jedoch noch verschärfen, insbesondere mit dem Aufkommen neuer und gefährlicherer Ransomware wie BlackCat, die eine Spur von Opfern hinterlässt.
BlackCat-Ransomware
Die BlackCat-Ransomware, auch bekannt als ALPHV von ihren Entwicklern, ist eine schädliche Software, die nach der Infiltration Daten aus dem betroffenen System extrahiert und verschlüsselt. Die Exfiltration umfasst das Kopieren und Übertragen von Daten, die auf einem System gespeichert sind. Sobald BlackCat kritische Daten extrahiert und verschlüsselt hat, wird eine Lösegeldforderung gestellt, die in Kryptowährung zu begleichen ist. Opfer von BlackCat müssen das geforderte Lösegeld zahlen, um wieder Zugriff auf ihre Daten zu erhalten.
BlackCat ist keine gewöhnliche Ransomware. Sie war die erste erfolgreiche Ransomware, die in Rust geschrieben wurde, im Gegensatz zu anderen Varianten, die üblicherweise in C, C++, C#, Java oder Python entwickelt werden. Zudem war BlackCat die erste Ransomware-Familie mit einer Website im Clear Web, auf der sie gestohlene Informationen aus ihren Angriffen preisgab.
Ein weiterer wesentlicher Unterschied zu anderer Ransomware besteht darin, dass BlackCat als Ransomware as a Service (RaaS) operiert. RaaS ist ein Geschäftsmodell der Cyberkriminalität, bei dem Entwickler ihre Ransomware als Dienstleistung an andere Personen oder Gruppen vermieten oder verkaufen.
Im Rahmen dieses Modells stellen die Entwickler alle notwendigen Tools und Infrastrukturen zur Verfügung, damit andere Ransomware-Angriffe ausführen und verbreiten können. Dies geschieht im Gegenzug für einen Teil der Gewinne aus den Lösegeldzahlungen.
Dies erklärt, warum BlackCat hauptsächlich Organisationen und Unternehmen ins Visier nimmt, da diese in der Regel eher bereit sind, ein Lösegeld zu zahlen als Einzelpersonen. Außerdem zahlen Organisationen und Unternehmen oft höhere Lösegeldbeträge als Privatpersonen. Die menschliche Führung und Entscheidungsfindung bei Cyberangriffen wird als Cyber Threat Actors (CTA) bezeichnet.
Um die Opfer zur Zahlung des Lösegelds zu zwingen, verwendet BlackCat die Technik der „dreifachen Erpressung“. Dabei werden die Daten der Opfer kopiert und übertragen sowie die Daten auf ihren Systemen verschlüsselt. Die Opfer werden dann aufgefordert, Lösegeld zu zahlen, um auf ihre verschlüsselten Daten zugreifen zu können. Andernfalls werden ihre Daten an die Öffentlichkeit weitergegeben und/oder Denial-of-Service-Angriffe (DOS) auf ihre Systeme gestartet.
Schließlich werden diejenigen, die von dem Datenleck betroffen sein werden, kontaktiert und darüber informiert, dass ihre Daten veröffentlicht wurden. Dies sind in der Regel Kunden, Mitarbeiter und andere mit dem Unternehmen verbundene Parteien. Dies geschieht, um die betroffenen Organisationen unter Druck zu setzen, Lösegeld zu zahlen und Reputationsschäden und Klagen aufgrund von Datenschutzverletzungen zu vermeiden.
Funktionsweise der BlackCat-Ransomware
Laut einer vom FBI veröffentlichten Warnung nutzt BlackCat-Ransomware zuvor kompromittierte Benutzeranmeldeinformationen, um Zugang zu Systemen zu erlangen.
Sobald BlackCat erfolgreich in ein System eingedrungen ist, nutzt es diesen Zugang, um die im Active Directory gespeicherten Benutzer- und Administratorkonten zu kompromittieren. Dadurch kann es den Windows Task Scheduler verwenden, um bösartige Gruppenrichtlinienobjekte (GPOs) zu konfigurieren, die es BlackCat ermöglichen, seine Ransomware zur Verschlüsselung von Dateien einzusetzen.
Während eines BlackCat-Angriffs werden PowerShell-Skripte zusammen mit Cobalt Strike verwendet, um Sicherheitsfunktionen im Netzwerk eines Opfers zu deaktivieren. BlackCat stiehlt dann die Daten der Opfer, die an verschiedenen Orten, einschließlich Cloud-Anbietern, gespeichert sind. Nach Abschluss dieses Vorgangs setzt der Cyberkriminelle die BlackCat-Ransomware ein, um Daten im System des Opfers zu verschlüsseln.
Die Opfer erhalten anschließend eine Lösegeldforderung, in der sie über den Angriff auf ihre Systeme und die Verschlüsselung wichtiger Dateien informiert werden. Das Lösegeld enthält auch Anweisungen zur Zahlung der geforderten Summe.
Warum ist BlackCat gefährlicher als die durchschnittliche Ransomware?
BlackCat ist aus mehreren Gründen gefährlicher als durchschnittliche Ransomware:
Sie ist in Rust geschrieben
Rust ist eine Programmiersprache, die für ihre Geschwindigkeit, Sicherheit und effiziente Speicherverwaltung bekannt ist. Durch die Verwendung von Rust profitiert BlackCat von diesen Vorteilen und wird zu einer hochkomplexen und effizienten Ransomware mit schneller Verschlüsselungsleistung. Dies erschwert auch das Reverse Engineering von BlackCat. Rust ist zudem eine plattformübergreifende Sprache, die es Angreifern ermöglicht, BlackCat leicht an verschiedene Betriebssysteme wie Windows und Linux anzupassen und so den Pool potenzieller Opfer zu erweitern.
Sie nutzt ein RaaS-Geschäftsmodell
Das Ransomware-as-a-Service-Modell von BlackCat ermöglicht es zahlreichen Angreifern, ausgeklügelte Ransomware einzusetzen, ohne Kenntnisse über ihre Entwicklung zu benötigen. BlackCat erledigt den Großteil der Arbeit für die Angreifer, die sie lediglich in einem anfälligen System einsetzen müssen. Dies erleichtert ausgeklügelte Ransomware-Angriffe für Akteure, die an der Ausnutzung gefährdeter Systeme interessiert sind.
Sie bietet ihren Partnern hohe Auszahlungen
Da BlackCat ein RaaS-Modell verwendet, generieren die Entwickler Einnahmen, indem sie einen Teil der an die Angreifer gezahlten Lösegelder einbehalten. Im Gegensatz zu anderen RaaS-Familien, die bis zu 30 % des gezahlten Lösegelds behalten, erlaubt BlackCat den Angreifern, 80 % bis 90 % der Lösegelder einzubehalten. Dies macht BlackCat für Angreifer attraktiver und ermutigt mehr Partner, sie bei Cyberangriffen einzusetzen.
Sie hat eine öffentliche Leak-Site im Clear Web
Im Gegensatz zu anderer Ransomware, die gestohlene Informationen im Dark Web veröffentlicht, stellt BlackCat gestohlene Daten auf einer Website zur Verfügung, die im Clear Web zugänglich ist. Die Veröffentlichung gestohlener Daten erhöht den Kreis der Zugreifenden, was die Auswirkungen eines Cyberangriffs verstärkt und den Druck auf die Opfer erhöht, das Lösegeld zu zahlen.
Die Programmiersprache Rust hat BlackCat zu einem sehr effektiven Angriffswerkzeug gemacht. Durch die Verwendung eines RaaS-Modells und hohe Auszahlungen spricht BlackCat mehr Angreifer an, die sie mit höherer Wahrscheinlichkeit bei ihren Attacken einsetzen werden.
BlackCat-Ransomware-Infektionskette
BlackCat verschafft sich anfänglichen Zugang zu einem System, indem es kompromittierte Anmeldedaten verwendet oder Schwachstellen in Microsoft Exchange Servern ausnutzt. Nachdem sie Zugang zu einem System erhalten haben, umgehen die Angreifer die Sicherheitsmaßnahmen des Systems, sammeln Informationen über das Netzwerk des Opfers und erweitern ihre Rechte.
Die BlackCat-Ransomware breitet sich dann seitlich im Netzwerk aus und verschafft sich Zugang zu so vielen Systemen wie möglich. Dies ist bei der Lösegeldforderung von Vorteil. Je mehr Systeme angegriffen werden, desto wahrscheinlicher ist es, dass ein Opfer das Lösegeld zahlt.
Die Angreifer extrahieren anschließend die Daten des Systems, die für Erpressungszwecke verwendet werden sollen. Sobald kritische Daten extrahiert wurden, ist der Weg für die Bereitstellung der BlackCat-Payload geebnet.
Die Angreifer liefern BlackCat in Rust geschrieben aus. BlackCat stoppt zunächst Dienste wie Backups, Antivirenprogramme, Windows-Internetdienste und virtuelle Maschinen. Sobald dies erledigt ist, verschlüsselt BlackCat Dateien im System und ersetzt das Hintergrundbild eines Systems durch die Lösegeldforderung.
Schutz vor BlackCat-Ransomware
Obwohl BlackCat sich als gefährlicher erweist als andere zuvor beobachtete Ransomware, können Unternehmen sich auf verschiedene Weise vor der Ransomware schützen:
Kritische Daten verschlüsseln
Ein Teil der Erpressungsstrategie von BlackCat ist die Drohung, die Daten eines Opfers preiszugeben. Durch die Verschlüsselung kritischer Daten fügt eine Organisation ihren Daten eine zusätzliche Schutzebene hinzu und behindert somit die Erpressungstechniken von BlackCat-Angreifern. Selbst wenn die Daten durchgesickert sind, werden sie nicht in einem lesbaren Format vorliegen.
Systeme regelmäßig aktualisieren
Eine von Microsoft durchgeführte Untersuchung ergab, dass BlackCat in einigen Fällen ungepatchte Exchange-Server ausnutzte, um Zugang zu den Systemen einer Organisation zu erhalten. Softwareunternehmen veröffentlichen regelmäßig Software-Updates, um Schwachstellen und Sicherheitsprobleme zu beheben, die möglicherweise in ihren Systemen entdeckt wurden. Installieren Sie Sicherheitspatches, sobald diese verfügbar sind.
Daten an einem sicheren Ort sichern
Unternehmen sollten der regelmäßigen Sicherung ihrer Daten Priorität einräumen und diese Daten an einem separaten, sicheren und Offline-Speicherort aufbewahren. Damit soll sichergestellt werden, dass kritische Daten auch im Falle einer Verschlüsselung aus vorhandenen Backups wiederhergestellt werden können.
Mehrfaktor-Authentifizierung implementieren
Zusätzlich zur Verwendung sicherer Passwörter in einem System sollte eine Multi-Faktor-Authentifizierung implementiert werden, die mehrere Anmeldeinformationen erfordert, bevor der Zugriff auf ein System gewährt wird. Dies kann durch die Konfiguration eines Systems erreicht werden, um ein Einmalpasswort zu generieren, das an eine verknüpfte Telefonnummer oder E-Mail-Adresse gesendet wird und für den Zugriff erforderlich ist.
Aktivitäten in einem Netzwerk und Dateien in einem System überwachen
Organisationen sollten die Aktivitäten in ihren Netzwerken kontinuierlich überwachen, um verdächtige Vorgänge so schnell wie möglich zu erkennen und darauf zu reagieren. Aktivitäten in einem Netzwerk sollten auch protokolliert und von Sicherheitsexperten überprüft werden, um potenzielle Bedrohungen zu erkennen. Schließlich sollten Systeme implementiert werden, um zu verfolgen, wie auf Dateien in einem System zugegriffen wird, wer darauf zugreift und wie sie verwendet werden.
Durch die Verschlüsselung kritischer Daten, das regelmäßige Aktualisieren von Systemen, die Sicherung von Daten, die Implementierung einer Multi-Faktor-Authentifizierung und die Überwachung der Aktivität in einem System können sich Organisationen schützen und einen Schritt voraus sein, um Angriffe von BlackCat zu verhindern.
Lernressourcen: Ransomware
Um mehr über Cyberangriffe zu erfahren und wie Sie sich vor Angriffen durch Ransomware wie BlackCat schützen können, empfehlen wir Ihnen, einen dieser Kurse zu belegen oder die unten aufgeführten Bücher zu lesen:
#1. Sicherheitsbewusstseinstraining
Dieser Kurs ist für alle interessant, die sich für Sicherheit im Internet interessieren. Der Kurs wird von Dr. Michael Biocchi, einem Certified Information Systems Security Professional (CISSP), angeboten.
Der Kurs behandelt Phishing, Social Engineering, Datenlecks, Passwörter, sicheres Surfen und persönliche Geräte und bietet allgemeine Tipps, wie man im Internet sicher bleibt. Der Kurs wird regelmäßig aktualisiert und jeder, der das Internet nutzt, kann davon profitieren.
#2. Security Awareness Training, Internetsicherheit für Mitarbeiter
Dieser Kurs richtet sich an alltägliche Internetnutzer und zielt darauf ab, sie über Sicherheitsbedrohungen aufzuklären, die Menschen oft nicht bewusst sind, und wie sie sich vor diesen Bedrohungen schützen können.
Der von Roy Davis, einem CISSP-zertifizierten Informationssicherheitsexperten, angebotene Kurs umfasst Benutzer- und Geräteverantwortung, Phishing und andere schädliche E-Mails, Social Engineering, Datenverarbeitung, Passwort- und Sicherheitsfragen, sicheres Surfen, mobile Geräte und Ransomware. Wenn Sie den Kurs abschließen, erhalten Sie ein Abschlusszertifikat, das ausreicht, um die Datenschutzrichtlinien an den meisten Arbeitsplätzen einzuhalten.
#3. Cyber Security: Awareness-Training für absolute Anfänger
Dies ist ein Udemy-Kurs, der von Usman Ashraf von der Logix Academy, einem Startup für Schulungen und Zertifizierungen, angeboten wird. Usman ist CISSP-zertifiziert und hat einen Doktortitel in Computernetzwerken sowie umfangreiche Industrie- und Lehrerfahrung.
Dieser Kurs bietet den Lernenden einen tiefen Einblick in Social Engineering, Passwörter, sichere Datenvernichtung, virtuelle private Netzwerke (VPNs), Malware, Ransomware und Tipps zum sicheren Surfen und erklärt, wie Cookies verwendet werden, um Personen zu verfolgen. Der Kurs ist nicht technisch.
#4. Ransomware aufgedeckt
Dies ist ein Buch von Nihad A. Hassan, einem unabhängigen Informationssicherheitsberater und Experten für Cybersicherheit und digitale Forensik. Das Buch vermittelt, wie man Ransomware-Angriffe abmildert und wie man mit ihnen umgeht. Es gibt den Lesern einen detaillierten Einblick in die verschiedenen Arten von Ransomware, ihre Verteilungsstrategien und Methoden zur Wiederherstellung.
Das Buch behandelt auch Schritte, die im Falle einer Ransomware-Infektion zu befolgen sind. Dies umfasst die Zahlung von Lösegeldern, das Erstellen von Backups und die Wiederherstellung betroffener Dateien sowie die Online-Suche nach Entschlüsselungstools. Es behandelt auch, wie Unternehmen einen Plan zur Reaktion auf Ransomware-Vorfälle entwickeln können, um Ransomware-Schäden zu minimieren und den normalen Betrieb schnell wiederherzustellen.
#5. Ransomware: Verstehen. Verhindern. Wiederherstellung
In diesem Buch beantwortet Allan Liska, Senior Security Architect und Ransomware-Spezialist bei Recorded Future, alle wichtigen Fragen im Zusammenhang mit Ransomware.
Das Buch gibt einen historischen Kontext darüber, warum Ransomware in den letzten Jahren so weit verbreitet ist, wie man Ransomware-Angriffe stoppt, welche Schwachstellen von Angreifern angegriffen werden und wie man einen Ransomware-Angriff mit minimalem Schaden übersteht. Darüber hinaus wird die entscheidende Frage beantwortet: Sollten Sie das Lösegeld zahlen? Dieses Buch bietet eine spannende Erkundung der Ransomware-Thematik.
#6. Playbook zum Schutz vor Ransomware
Dieses Buch ist ein Muss für jede Person oder Organisation, die sich gegen Ransomware wappnen möchte. In diesem Buch stellt Roger A. Grimes, ein Experte für Computersicherheit und Penetration, seine umfangreiche Erfahrung und sein Wissen zur Verfügung, um Menschen und Organisationen dabei zu helfen, sich vor Ransomware zu schützen.
Das Buch bietet eine umsetzbare Blaupause für Organisationen, die robuste Abwehrmaßnahmen gegen Ransomware entwickeln möchten. Es vermittelt auch, wie man einen Angriff erkennt, den Schaden schnell begrenzt und feststellt, ob das Lösegeld gezahlt werden soll oder nicht. Es bietet auch einen Plan, um Organisationen zu helfen, Reputationsschäden und finanzielle Verluste, die durch schwere Sicherheitsverletzungen verursacht werden, zu begrenzen.
Zudem vermittelt das Buch, wie man eine sichere Grundlage für Cybersicherheitsversicherungen und Rechtsschutz schafft, um die Störungen im Geschäfts- und Alltagsleben abzumildern.
Anmerkung des Verfassers
BlackCat ist eine Ransomware, die das Potenzial hat, den Status Quo der Cybersicherheit zu verändern. Bis März 2022 hatte BlackCat erfolgreich mehr als 60 Organisationen angegriffen und die Aufmerksamkeit des FBI auf sich gezogen. BlackCat ist eine ernstzunehmende Bedrohung, die von keiner Organisation ignoriert werden sollte.
Durch den Einsatz einer modernen Programmiersprache und unkonventioneller Angriffs-, Verschlüsselungs- und Erpressungstechniken hat BlackCat die Sicherheitsexperten in eine Aufholjagd gezwungen. Der Kampf gegen diese Ransomware ist jedoch nicht verloren.
Durch die Implementierung der in diesem Artikel beschriebenen Strategien und die Minimierung menschlicher Fehler, die zum Einfall in Computersysteme führen können, können Unternehmen einen Schritt voraus sein und den katastrophalen Angriff der BlackCat-Ransomware verhindern.