FBI: BlackCat-Ransomware ist weltweit mindestens 60 Mal erfolgreich in IT-Systeme eingedrungen

Ransomware

Die ausführbare Ransomware von BlackCat ist in hohem Maße anpassbar und unterstützt eine Reihe von Verschlüsselungsmethoden.

Ransomware-Banden, darunter BlackByte, Ragnar Locker und Avoslocker, es auf Dutzende kritischer US-Infrastrukturen abgesehen haben und bereits in diese eingedrungen sind. BlackCat/ALPHV “ist die erste Ransomware-Gruppe, die erfolgreich RUST einsetzt, eine Programmiersprache, die als sicherer gilt und eine verbesserte Leistung und zuverlässige gleichzeitige Verarbeitung bietet”, so das FBI in ihrem Report.

Die ausführbare Ransomware von BlackCat ist zudem in hohem Maße anpassbar und unterstützt mehrere Verschlüsselungsmethoden und -optionen, so dass sich die Angriffe leicht an die jeweilige IT-Infrastruktur eines Unternehmens anpassen lassen. “Viele der Entwickler und Geldwäscher von BlackCat/ALPHV sind mit Darkside/Blackmatter verbunden, was darauf hindeutet, dass sie über umfangreiche Netzwerke und Erfahrungen mit Ransomware-Operationen verfügen”, so das FBI weiter.

BlackMatter gleich BlackCat?

Die DarkSide RaaS-Operation startete im August 2020 und wurde im Mai 2021 eingestellt, nachdem die Strafverfolgungsbehörden nach dem Angriff auf Colonial Pipeline versucht hatten, die Bande auszuschalten. Obwohl sie sich am 31. Juli in BlackMatter umbenannten, waren sie bald darauf gezwungen, ihre Tätigkeit im November 2021 wieder einzustellen. Emsisoft hatte eine Schwachstelle in der Ransomware gefunden, einen Entschlüsseler entwickelt, und die Server der Bande wurden beschlagnahmt.

Einen Monat nach dem Start der BlackCat-Ransomware im November 2021 wurde eine Verbindung zwischen BlackCat und BlackMatter aufgedeckt. BlackCat behauptet, nur ein DarkSide/BlackMatter-Tochterunternehmen zu sein, das seine eigene Ransomware-as-a-Service (RaaS)-Operation gestartet hat.  Sicherheitsforscher zweifeln an dieser Version, da sie Ähnlichkeiten in den Funktionen und Konfigurationsdateien gefunden haben.

Das FBI hat Opfer aufgefordert, Angriffe zu melden und keine Lösegelder zu zahlen. Sie hofft auf Informationen, die dabei helfen, die Bedrohungsakteure hinter der Ransomware-Gruppe aufzuspüren, Dazu gehören laut FBI “IP-Protokolle, die Rückrufe von ausländischen IP-Adressen zeigen, Bitcoin- oder Monero-Adressen und Transaktions-IDs, Kommunikation mit den Bedrohungsakteuren oder ein Beispiel einer verschlüsselten Datei”.