Im Schattenreich der Cyberkriminalität hat sich die Ransomware BlackCat zu einer erheblichen und hochentwickelten Bedrohung gemausert. Lesen Sie weiter, um mehr über die Funktionsweise der BlackCat-Ransomware zu erfahren und wie Sie sich davor schützen können.
Was ist BlackCat-Ransomware?
Seit ihrem ersten Auftreten im November 2021 hat sich BlackCat, auch ALPHV oder ALPHV-ng genannt, im Bereich der Ransomware zu einer echten Bedrohung entwickelt. BlackCat wird als Ransomware-as-a-Service (RaaS) betrieben und gilt als eines der durchtriebensten RaaS-Angebote. Im Gegensatz zu anderen basiert die Software auf der Programmiersprache Rust, aber ihr Hauptwesensmerkmal ist eine besonders perfide Form des „dreifachen Abkassierens“.
Wie funktioniert die Ransomware BlackCat?
BlackCat-Ransomware ist zunächst einmal eine Schadsoftware, die sich allerdings eher unkonventionell der Programmiersprache Rust bedient. Dabei geht sie äußerst vielseitig vor und nimmt eine breite Palette von Zielgeräten und potenziellen Schwachstellen ins Visier, häufig in Anlehnung an andere Gruppen von Bedrohungsakteuren. Was BlackCat so besonders perfide macht, ist ihre Hartnäckigkeit – die Daten der Opfer werden nicht nur verschlüsselt und vereinnahmt, sondern auch im Rahmen einer skrupellosen Taktik des „dreifachen Abkassierens“ genutzt. Zum dreifachen Abkassieren gehört neben der Drohung, die gestohlene Daten preiszugeben, wenn das Lösegeld nicht gezahlt wird, auch die Androhung eines DDoS-Angriffs (Distributed Denial of Service) im Falle der Nichtzahlung.
Das Geschäftsmodell von BlackCat besteht darin, anderen Cyberkriminellen die Nutzung seiner Software in Form einer Ransomware-as-a-Service (RaaS) anzubieten, dann aber auch eigene Kampagnen zu lancieren und einen beträchtlichen Anteil der Einkünfte zu kassieren, mit dem sie weit über dem Branchenstandard von 70 % liegen. Die Attraktivität von BlackCat wird durch die umfangreichen Anpassungsmöglichkeiten noch gesteigert, so dass auch weniger erfahrene Nutzer in der Lage sind, raffinierte Angriffe auf Unternehmen zu orchestrieren. Wer den Lösegeldforderungen von BlackCat, die nicht selten in die Millionen gehen, schnellstmöglich nachkommt, kann sich einen Rabatt sichern. Allerdings sollten sich Unternehmen gut überlegen, ob sie mit ihrer Zahlung tatsächlich kriminelle Aktivitäten belohnen möchten, zumal es keineswegs eine Garantie gibt, dass sich die Gegenseite an ihren Teil des Deals hält und die Dateien wieder herausgibt.
Im Austausch für den Entschlüsselungscode verlangen BlackCat-Erpresser in der Regel eine Zahlung in Kryptowährung wie z. B. Bitcoin. Gleichzeitig erhöhen sie den Druck, indem sie ihren Opfern in eingeblendeten Bildschirmmeldungen dringend raten, das Lösegeld schnellstmöglich anzuweisen, um an den Entschlüsselungscode zu kommen.
Wie wird die Ransomware BlackCat verbreitet?
Zu den wichtigsten Angriffsvektoren von BlackCat gehören infizierte E-Mails und Links zu schädlichen Webseiten, über die sie den nichts ahnenden Benutzer in die Falle locken. Ist der erste Zugang geschafft, kann sich BlackCat schnell im gesamten System ausbreiten.
Was BlackCat von anderen Ransomware-Varianten unterscheidet, ist die Verwendung der Programmiersprache Rust. Rust hat eine Reihe von außergewöhnlichen Eigenschaften, wie Geschwindigkeit, Stabilität, überlegene Speicherverwaltung, und vor allem die Fähigkeit, etablierte Erkennungsmethoden zu umgehen. All das macht diese Programmiersprache zu einem mächtigen Werkzeug in den Händen von Cyberkriminellen. Die Anpassungsfähigkeit von BlackCat erstreckt sich dabei neben Windows auch auf andere Plattformen wie Linux, die in der Regel seltener von Malware-Bedrohungen betroffen sind. Linux-Administratoren stellt das vor ganz neue Herausforderungen, wenn sie diese sich entwickelnde Bedrohung abwehren sollen.
Die Flexibilität von BlackCat wird durch eine JSON-Konfigurationsdatei noch weiter gesteigert, die es dem Benutzer ermöglicht, aus vier verschiedenen Verschlüsselungsalgorithmen zu wählen, Lösegeldforderungen anzupassen, Ausnahmen für Dateien, Ordner und Erweiterungen festzulegen sowie Dienste und Prozesse für die Beendigung zu definieren, damit die Verschlüsselung möglichst reibungslos abläuft. Mittels Domäne-Zugangsdaten lässt sich BlackCat sogar noch kleinteiliger konfigurieren, was die Übertragbarkeit auf andere Systeme verbessert.
Darüber hinaus beschränkt sich BlackCat längst nicht mehr auf das Dark Web, sondern wird mittlerweile im allgemein zugänglichen Internet auf einer eigenen Website für Datenlecks angeboten. Während andere Gruppen ihre Seiten normalerweise im Dark Web betreiben, um Datenschutzverletzungen nachzuweisen und die Opfer zur Lösegeldzahlung zu drängen, geht BlackCat völlig neue Wege und öffnet sich einem breiteren Publikum, auch aktuellen und potenziellen Kunden, Anteilseignern und Journalisten.
Zielgruppe der BlackCat-Ransomware
So wie viele der Großwildjäger unter den Ransomware-Bedrohungen nimmt auch BlackCat gezielt größere Organisationen ins Visier, um möglichst hohe Lösegeldforderungen stellen zu können. Berichten zufolge reichen die Forderungen von Hunderttausenden bis zu mehreren Millionen Dollar, zahlbar in Kryptowährung.
Obwohl sicherlich niemand die Zahl der Opfer exakt beziffern kann, wird die bedrohliche Präsenz von BlackCat deutlich, wenn man sich die Namen der mehr als zwanzig erpressten Organisationen auf der Tor-Website der Gruppe anschaut. Die Opfer stammen aus unterschiedlichen Branchen und Ländern wie Australien, den Bahamas, Frankreich, Deutschland, Italien, den Niederlande, den Philippinen, Spanien, Großbritannien und den USA. Die betroffenen Sektoren umfassen ein breites Spektrum von Unternehmensdienstleistungen, Bauwesen und Energie bis hin zu Mode, Finanzen, Logistik, Fertigung, Pharmaindustrie, Einzelhandel und Technologie.
Beispiele für Angriffe der BlackCat-Ransomware
November 2023 – Heny Schein
Im November 2023 wurde Henry Schein, ein im Fortune 500 gelistetes Unternehmen für Dentalbedarf, von der Ransomware BlackCat angegriffen. Den Berichten zufolge soll die Ransomware-Bande, die auch unter dem Namen ALPHV bekannt ist, 35 TB an Daten gestohlen und Verhandlungen mit Henry Schein aufgenommen haben. Zunächst erhielt das Unternehmen einen Entschlüsselungscode und begann mit der Wiederherstellung seiner Systeme, doch als es zum Abbruch der Verhandlungen kam, verschlüsselten die Erpresser alles erneut. Die Situation eskalierte, als sie mit der Veröffentlichung interner Daten drohte. Kurz darauf wurden die Daten von der Website gelöscht, was auf eine mögliche Einigung hindeutet. Der Angriff erfolgte zwei Wochen, bevor die Daten online gestellt wurden, und führte zu einer vorübergehenden Einstellung des Geschäftsbetriebs bei Henry Schein. Das Unternehmen ergriff Vorsichtsmaßnahmen, meldete den Vorfall bei der Polizei und beauftragte Forensiker mit der Untersuchung.
August 2023 – Seiko Group Corporation
Die Seiko Group Corporation bestätigte im August 2023 eine Datenschutzverletzung durch die BlackCat-Ransomware, von der 60.000 Datensätze betroffen waren. Dazu gehörten Kundendatensätze, Kontakte aus Geschäftstransaktionen, Bewerber- und Personaldaten. Kreditkartendaten waren davon allerdings nicht berührt. Als Reaktion darauf hat Seiko eine Reihe von Sicherheitsmaßnahmen ergriffen, wie z. B. durch Sperren der Kommunikation mit externen Servern, die Einführung von EDR-Systemen und die Implementierung einer Multi-Faktor-Authentifizierung. Seiko bestätigte Pläne zur Zusammenarbeit mit Cybersicherheitsexperten, um die Sicherheit zu erhöhen und künftige Vorfälle zu verhindern.
Wie man sich vor BlackCat schützen kann
Für den Schutz Ihrer Systeme und Daten vor BlackCat-Ransomware gelten dieselben Maßnahmen wie zur Abwehr anderer Ransomware-Varianten auch. Dazu gehören:
Aufklärung der Mitarbeiter:
Mitarbeiterschulungen zur wirksamen Abwehr von BlackCat-Ransomware und anderen Malware-Bedrohungen sollten folgende wichtige Punkte enthalten:
- Erkennungsmerkmale von Phishing-Mails, einer häufigen Verbreitungsmethode für Ransomware.
- Als Absender werden in Phishing-Mails oft vermeintlich seriöse Quellen wie Banken oder Versandunternehmen angegeben. Oft enthalten sie schädliche Anhänge oder Links, über die die Ransomware installiert wird
- Bei E-Mails von unbekannten Absendern ist Vorsicht geboten und unautorisierten Downloads darf kein Vorschub geleistet werden.
- Mitarbeiter sollten Software und Antiviren-Programme auf dem neuesten Stand halten und wissen, wie sie verdächtige Aktivitäten an die IT-Abteilung oder das Sicherheitspersonal melden können.
- In regelmäßigen Schulungen zum Sicherheitsbewusstsein sollten Mitarbeiter über die neuesten Ransomware-Bedrohungen und Best Practices zu deren Verhinderung auf dem Laufenden gehalten werden. Mit diesen Maßnahmen lässt sich das Risiko eines Vorfalls mit BlackCat-Ransomware und anderer Gefahren für die Cybersicherheit senken.
Datenverschlüsselung und Zugangskontrolle:
Spezielle Sicherungsmaßnahmen für vertrauliche Daten bieten zusätzlichen Schutz vor BlackCat-Ransomware und ähnliche Bedrohungen. Durch Verschlüsselung und Zugriffskontrollen können Unternehmen das Risiko einer Infektion mit BlackCat-Ransomware und die möglichen Folgen eines erfolgreichen Angriffs erheblich verringern:
- Bei der Verschlüsselung werden Daten in einen Code umgewandelt, der sie praktisch für jeden unlesbar macht, der nicht über den entsprechenden Entschlüsselungscode verfügt.
- So sind die Daten selbst dann geschützt, wenn Ransomware in das System eindringen und auf die verschlüsselten Informationen zugreifen kann.
- Kritische Daten wie zum Finanzunterlagen, persönliche Informationen und wichtige Geschäftsdateien sollten konsequent verschlüsselt werden.
- Dafür gibt es unterschiedliche Verschlüsselungsprogramme wie BitLocker für Windows oder FileVault für Mac oder eine Verschlüsselungssoftware von einem Drittanbieter.
- Zugriffskontrollen sind nicht weniger wichtig, um den Datenzugriff einzuschränken. So sollten nur die Benutzer Zugriff erhalten, die diesen auch wirklich benötigen, und die Autorisierung darf nur über robuste Passwörter möglich sein.
- Selbst wenn ein Bedrohungsakteur Zugang zu verschlüsselten Daten erhält, sind diese ohne einen sicher und getrennt von den verschlüsselten Daten aufbewahrten Entschlüsselungscode für ihn unbrauchbar.
Daten-Backup:
Eine der wirksamsten Maßnahmen gegen BlackCat-Ransomware und ähnliche Malware sind regelmäßige Datensicherungen:
- Dabei werden Duplikate wichtiger Dateien erstellt und an einem separaten Ort gespeichert, z. B. auf einer externen Festplatte, in einem Cloud-Speicher oder auf einem anderen Computer.
- Im Falle einer Infektion mit BlackCat-Ransomware können die betroffenen Dateien gelöscht und aus der Datensicherung wiederhergestellt werden, so dass weder Lösegeld gezahlt werden muss noch ein dauerhafter Dateiverlust droht.
- Damit die Sicherheitsmaßnahme aber auch wirklich greift, müssen die Backup-Dateien an einem isolierten Ort abgelegt werden, der nicht mit dem ursprünglichen Computer oder Netzwerk verbunden ist. Zu den empfohlenen Speicheroptionen gehören physisch getrennte Standorte oder seriöse Cloud-Speicherdienste mit robusten Sicherheits- und Verschlüsselungsprotokollen.
Software-Updates:
Regelmäßige Software-Updates schützen vor BlackCat-Ransomware und ähnlicher Malware:
- Updates enthalten häufig Sicherheits-Patches, mit denen Schwachstellen behoben werden, die andernfalls von Ransomware-Angreifern ausgenutzt werden können. Sobald eine Schwachstelle entdeckt wurde, veröffentlichen Softwarehersteller Updates, um diese zu schließen.
- Deshalb enthalten Updates neben neuen Funktionen auch Sicherheits-Patches und Fehlerbehebungen. Sie auf die lange Bank zu schieben, heißt, möglichen Angriffen Vorschub zu leisten.
- Angreifer haben es oft auf veraltete Software von Betriebssystemen, Webbrowsern oder Plugins abgesehen. Konsequentes Installieren von Updates erhöht die Sicherheit und macht es Angreifern schwer, solche Schwachstellen auszunutzen.
- Mit einer Patch Management-Software lässt sich der Aktualisierungsprozess vereinfachen: Updates werden automatisch und möglichst außerhalb der Arbeitszeiten installiert, und der gesamte Prozess wird in detaillierten Statusberichten dokumentiert. Diese Kombination aus regelmäßigen Updates und automatischem Patch Management senkt das Risiko, mit BlackCat-Ransomware und anderen Cyberbedrohungen infiziert zu werden.
Einsatz von Cybersicherheitstools:
Auch wenn Sie mit den oben genannten Maßnahmen Ihren Schutz vor BlackCat-Ransomware erheblich verbessern können, sollten Sie diese Strategien noch mit speziellen Cybersicherheitsprodukten flankieren. Zum Beispiel:
- Kaspersky Premium bietet umfassenden Schutz vor einer Vielzahl von Cyberbedrohungen wie Ransomware sowie kontinuierliche Sicherheit dank Bedrohungserkennung in Echtzeit, erweiterten Firewalls und automatischen Updates.
- Kaspersky VPN steigert Ihre Sicherheit im Internet mit verschlüsselter Internetverbindung und sicheren Servern. Gleichzeitig schützt es Ihre Daten, insbesondere in öffentlichen WLAN-Netzen.
- Als zusätzlichen Schutz vor Ransomware speichert und generiert der Kaspersky Password Manager sichere, eindeutige Kennwörter für Ihre Online-Konten und verringert so das Risiko von Sicherheitsverletzungen durch schwache oder mehrfach eingesetzte Passwörter.
Zusammenfassend lässt sich sagen, dass angesichts der sich ständig weiterentwickelnden Bedrohungslage die Bedeutung einer Kombination aus robusten Cybersicherheitspraktiken und modernsten Tools gar nicht hoch genug eingeschätzt werden kann. Mit einem ganzheitlichen Ansatz, der Mitarbeiterschulungen, Datenverschlüsselung, Zugangskontrollen und regelmäßige Datensicherungen ebenso umfasst wie Software-Updates und den Einsatz von Cybersicherheitsprodukten, können Sie Ihre Sicherheit im Netz maximieren und BlackCat-Ransomware und andere schädliche Bedrohungen in Schach halten.
FAQs zur BlackCat-Ransomware
Was ist BlackCat-Ransomware?
BlackCat, auch bekannt als ALPHV oder ALPHV-ng, tauchte erstmals im November 2021 auf und hat sich seitdem innerhalb der Ransomware-Landschaft zu einer erheblichen Bedrohung ausgewachsen. BlackCat wird als Ransomware-as-a-Service (RaaS) betrieben und gilt bislang als eines der raffiniertesten RaaS-Angebote. BlackCat basiert auf der Programmiersprache Rust, aber ihr Hauptwesensmerkmal ist die besonders perfide Strategie des „dreifachen Abkassierens“.
Wer ist der BlackCat Ransomware bislang zum Opfer gefallen?
Zur Strategie von BlackCat gehört es, große Unternehmen anzugehen, bei denen möglichst hohe Lösegeldforderungen gestellt werden können. Die Höhe variiert in der Regel zwischen Hunderttausenden und Millionen von Dollar in Kryptowährung. Auf der Tor-Website der Gruppe werden mehr als zwanzig angegriffene Organisationen aus mehreren Ländern genannt. Zu den Zielbranchen gehören Unternehmensdienstleistungen, Bauwesen, Energie, Mode, Finanzen, Logistik, Fertigung, Pharmaindustrie, Einzelhandel und Technologie.
Weitere Produkte:
Verwandte Artikel: