Black Basta Ransomware tut sich mit Malware-Stalwart Qbot zusammen

  • Die neuartige cyberkriminelle Gruppe nutzte den sich ständig weiterentwickelnden Trojaner zum Stehlen von Informationen, um sich bei einem kürzlichen Angriff seitlich in einem Netzwerk zu bewegen, wie Forscher herausgefunden haben.

    Forscher haben herausgefunden, dass ein Neuling in der Ransomware-Szene eine 14 Jahre alte Malware-Variante genutzt hat, um sich in einem kürzlich angegriffenen Netzwerk zu behaupten.

    Black Basta, eine im April aufgetauchte Ransomware-Gruppe, nutzte Qbot (auch bekannt als Quakbot), um sich seitlich in einem kompromittierten Netzwerk zu bewegen, schreiben Forscher des Sicherheitsberatungsunternehmens NCC Group in einem diese Woche veröffentlichten Blogbeitrag. Die Forscher beobachteten auch im Detail, wie Black Basta arbeitet.

    „Qakbot war die primäre Methode, die von dem Bedrohungsakteur eingesetzt wurde, um seine Präsenz im Netzwerk aufrechtzuerhalten“, schreiben Ross Inman und Peter Gurney von der NCC Group in ihrem Beitrag.[Blocked Image: https://alltechde.com/daten/2022/06/Black-Basta-Ransomware-tut-sich-mit-Malware-Stalwart-Qbot-zusammen.png]

    Qbot tauchte 2008 als Windows-basierter Trojaner auf, der Informationen stiehlt, Keylogging betreibt, Cookies exfiltriert und Online-Banking-Daten und andere Anmeldeinformationen abgreift. Seitdem hat er sich durch ständige Weiterentwicklung bewährt und sich zu einer ausgefeilten Malware mit cleveren Erkennungsumgehungs- und kontextabhängigen Verbreitungstaktiken sowie Phishing-Funktionen entwickelt, die unter anderem E-Mail-Hijacking beinhalten.

    Black Basta ist im Gegensatz dazu ein relativer Neuling in Sachen Cyberkriminalität. Die ersten Berichte über einen Angriff der Ransomware-Gruppe liegen erst ein paar Monate zurück.

    Black Basta verwendet, wie viele andere seiner Art, Angriffe mit doppelter Erpressung, bei denen zunächst Daten aus dem Netzwerk exfiltriert werden, bevor die Ransomware eingesetzt wird. Die Gruppe droht dann damit, die Daten auf einer Tor-Site zu veröffentlichen, die sie ausschließlich zu diesem Zweck nutzt.

    Qbot im Mix

    Es ist nicht ungewöhnlich, dass Ransomware-Gruppen Qbot bei der ersten Kompromittierung eines Netzwerks einsetzen. Die Verwendung von Qbot durch Black Basta scheint jedoch einzigartig zu sein, so die Forscher.

    „Die Ernsthaftigkeit und Effizienz der Zusammenarbeit darf nicht unterschätzt werden“, bemerkte Garret Grajek, CEO des Sicherheitsunternehmens YouAttest, der in einer E-Mail an Threatpost erklärte, dass die Entdeckung auch die Anforderungen an die Schutzmaßnahmen von Unternehmen erhöht.

    Die NCC Group entdeckte den Angriff, als sie im Ordner C:\Windows\ eine Textdatei mit dem Namen pc_list.txt entdeckte, die auf zwei kompromittierten Domänencontrollern vorhanden war, hieß es.

    „Beide enthielten eine Liste der internen IP-Adressen aller Systeme im Netzwerk“, schreiben die Forscher. „Dies sollte dem Bedrohungsakteur eine Liste von IP-Adressen liefern, auf die er bei der Bereitstellung der Ransomware abzielen konnte.“

    Nachdem sich die Ransomware-Gruppe Zugang zum Netzwerk verschafft und eine PsExec.exe im Ordner C:\Windows\ erstellt hatte, verwendete sie Qbot aus der Ferne, um einen temporären Dienst auf einem Zielhost zu erstellen, der so konfiguriert war, dass er eine Qakbot-DLL mithilfe von regsvr32.exe ausführt, schreiben die Forscher.

    Um mit der seitlichen Bewegung fortzufahren, verwendete Black Basta dann RDP zusammen mit der Bereitstellung einer Batch-Datei namens rdp.bat, die Befehlszeilen zur Aktivierung von RDP-Anmeldungen enthielt. Dies ermöglichte es dem Bedrohungsakteur, Remote-Desktop-Sitzungen auf kompromittierten Hosts einzurichten, selbst wenn RDP ursprünglich deaktiviert war, so die Forscher.

    Umgehungstaktiken und Ransomware-Ausführung

    Bei der Untersuchung des Vorfalls konnten die Forscher spezifische Merkmale eines Black-Basta-Angriffs beobachten, darunter die Art und Weise, wie er die Erkennung umgeht und Ransomware auf dem kompromittierten System ausführt, so die Forscher.

    Die Gruppe beginnt mit schändlichen Aktivitäten in einem Netzwerk, noch bevor sie die Ransomware ausführt, indem sie RDP-Sitzungen zu Hyper-V-Servern einrichtet, die Konfigurationen für die Veeam-Backup-Jobs ändert und die Backups der gehosteten virtuellen Maschinen löscht, so die Forscher. Anschließend verwendet er WMI (Windows Management Instrumentation), um die Ransomware zu verbreiten, so die Forscher.

    Während des Angriffs wurden auch zwei spezifische Schritte als Umgehungstaktik unternommen, um die Erkennung zu verhindern und Windows Defender zu deaktivieren. Zum einen wurde das Batch-Skript d.bat lokal auf kompromittierten Hosts bereitgestellt und PowerShell-Befehle ausgeführt, zum anderen wurde ein GPO (Group Policy Object) auf einem kompromittierten Domain Controller erstellt. Letzteres würde Änderungen an der Windows-Registrierung von domänenverbundenen Hosts vornehmen, um die Schutzmaßnahmen zu umgehen, so die Forscher.

    Nach der Installation verschlüsselt Black Basta Ransomware, wie viele andere Ransomware-Varianten auch, nicht die gesamte Datei, so die Forscher. Stattdessen verschlüsselt sie die Datei nur teilweise, um die Geschwindigkeit und Effizienz der Verschlüsselung zu erhöhen, indem sie 64-Byte-Blöcke einer Datei im Abstand von 128 Bytes verschlüsselt“, schreiben sie.

    Um Dateien zu verändern, verwendet die Gruppe auch einen zuvor generierten RSA-Schlüssel und 0x00020000, die an das Ende der Datei angehängt werden, um später zur Entschlüsselung verwendet zu werden, so die Forscher. Nach erfolgreicher Verschlüsselung einer Datei wird ihre Erweiterung in .basta geändert, wodurch ihr Symbol automatisch an die frühere Drop-Icon-Datei angepasst wird, fügten sie hinzu.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com