Nachdem die für die Ransomware BlackMatter und REvil verantwortlichen Cyberkriminellen ihre Aktivität im vergangenen Jahr eingestellt hatten, war das Auftauchen neuer Akteure nur eine Frage der Zeit. Im vergangenen Dezember erschienen erstmals Anzeigen für die Dienste der Cybergruppe ALPHV, auch bekannt als BlackCat. Nach mehreren Vorfällen haben unsere Experten des Global Research and Analysis Team (GReAT) beschlossen, die Aktivitäten der Gruppe sorgfältig zu analysieren und einen umfassenden Bericht auf Securelist zu veröffentlichen.
In den Anzeigen erwähnten die Angreifer, dass sie die Fehler und Probleme ihrer Vorgänger analysiert und eine verbesserte Version der Malware erstellt hätten. Es gibt jedoch Anzeichen dafür, dass ihre Beziehung zu BlackMatter und REvil deutlich enger sein könnte, als sie zu zeigen versuchen.
Wer ist BlackCat und welche Tools nutzen die Akteure?
Die Entwickler der Ransomware BlackCat bieten ihre Dienste im Rahmen des Ransomware-as-a-Service (RaaS)-Schemas an. Mit anderen Worten: Sie bieten anderen Angreifern Zugang zu ihrer Infrastruktur und ihrem Schadcode und erhalten im Gegenzug einen bestimmten Anteil des erpressten Lösegeldes. Darüber hinaus sind die Mitglieder der Gruppe BlackCat vermutlich auch für die Verhandlungen mit den Opfern verantwortlich. BlackCat-„Franchisenehmer“ müssen sich also lediglich Zugang zur jeweiligen Unternehmensumgebung verschaffen. Dieser „Rundum-Service“ ist auch der Grund, warum BlackCat so schnell an Fahrt gewonnen hat und die Malware bereits zum Angriff von Unternehmen auf der ganzen Welt eingesetzt wird.
Das Arsenal von BlackCat besteht aus mehreren Elementen. Das erste ist der gleichnamige Kyrptor, der in der Programmiersprache Rust geschrieben ist. Diese Eigenschaft hat es den Angreifern übrigens ermöglicht, ein plattformübergreifendes Tool mit Versionen der Malware zu erstellen, die sowohl in Windows- als auch in Linux-Umgebungen funktionieren.
Hinzu kommt das Dienstprogramm Fendr, das zum Exfiltrieren von Daten aus infizierter Infrastruktur verwendet wird. Der Einsatz dieses Tools deutet darauf hin, dass BlackCat schlichtweg ein Rebranding der BlackMatter-Fraktion sein könnte – sie waren bislang die einzigen Akteure, die dieses Tool, das auch unter dem Namen ExMatter bekannt ist, eingesetzt haben.
BlackCat verwendet zudem das PsExec-Tool für sogenannte Lateral Movements (Seitwärtsbewegungen) im Netzwerk des Opfers; sowie die bekannte Hacker-Software Mimikatz und die Software Nirsoft zum Extrahieren von Netzwerkpasswörtern.
Weitere technische Informationen über die von BlackCat eingesetzten Tools und Methoden sowie Indikatoren, die auf eine Kompromittierung hinweisen, finden Sie in diesem Blogbeitrag.
Wen hat BlackCat im Visier?
Unter den BlackCat-Vorfällen machten unsere Experten mindestens einen Angriff auf ein südamerikanisches Industrieunternehmen, das in den Bereichen Öl, Gas, Bergbau und Bauwesen tätig ist, sowie die Infektion mehrerer Kunden eines WWS-Anbieters aus dem Nahen Osten ausfindig.
Beunruhigend ist vor allem die Entwicklung des Dienstprogramms Fendr. Aktuell kann das Tool im Vergleich zu früheren Angriffen der BlackMatter-Gruppe eine deutlich größere Auswahl an Dateien herunterladen. Cyberkriminelle haben kürzlich die Möglichkeit hinzugefügt, Dateien mit folgenden Erweiterungen ausfindig zu machen: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt und .dxf. Diese Dateitypen beziehen sich auf Industriedesignanwendungen und Fernzugriffstools, was darauf hindeuten könnte, dass Malware-Ersteller industrielle Umgebungen im Visier haben.
So können Sie sich schützen
Um Ihr Unternehmen vor dem Verlust wichtiger Informationen zu schützen, empfehlen wir zunächst alle Unternehmensgeräte mit einer vetrauenswürdigen Sicherheitslösung auszustatten. Darüber hinaus, sollten Mitarbeiter immerhin die Grundlagen der Informationssicherheit beherrschen.
Da Ransomware-as-a-Service auf dem Vormarsch ist, ist es für jedes Unternehmen wichtiger denn je, auf mögliche Vorfälle mit einer mehrstufigen Anti-Ransomware-Strategie vorbereitet zu sein.