Ransomware-Bande BlackCat nutzt Pentesting-Tool Brute Ratel als Angriffswerkzeug

Ein neuer Bericht von Sophos X-Ops zeigt, dass die Ransomware-Bande BlackCat ihr Arsenal an Angriffswerkzeugen um das Pentesting-Tool Brute Ratel erweitert hat. BlackCat nutzt damit ungepatchte oder veraltete Firewalls und VPN-Dienste, um weltweit in Netzwerke und Systeme in verschiedenen Branchen einzudringen.

Erstinfektion über Schwachstellen von Firewall-Anbietern

Die BlackCat Ransomware tauchte erstmals im November 2021 als selbsterklärter „Marktführer“ im Ransomware-as-a-Service-Bereich auf und erregte schnell Aufmerksamkeit durch seine ungewöhnliche Programmiersprache Rust. Bei einigen Vorfällen erfolgte die Erstinfektion durch die Ausnutzung von Schwachstellen in Produkten verschiedener Firewall-Anbieter. Eine dieser Schwachstellen stammt aus dem Jahr 2018, eine andere wurde im vergangenen Jahr entdeckt. Sobald die Cyberkriminellen in das Netzwerk eingedrungen waren, konnten sie sich die auf diesen Firewalls gespeicherten VPN-Zugangsdaten beschaffen. Dies ermöglichte es ihnen, sich als autorisierte Benutzer anzumelden und dann mithilfe des Remote-Desktop-Protokolls (RDP) auf Schleichfahrt durch die Systeme zu gehen.

Wie schon bei früheren BlackCat-Vorfällen nutzten die Angreifenden auch Open-Source- und kommerziell erhältliche Tools, um zusätzliche Backdoors und alternative Wege für den Fernzugriff auf die Zielsysteme zu schaffen. Dazu gehörten TeamViewer, nGrok, Cobalt Strike und Brute Ratel. „Bei BlackCat und anderen Angriffen konnten wir in letzter Zeit beobachten, dass die Bedrohungsakteure sehr effizient und effektiv arbeiten. Sie nutzen bewährte Methoden wie Angriffe auf verwundbare Firewalls und VPNs. Sie waren aber auch bei der Umgehung von Sicherheitsmaßnahmen sehr innovativ und wechselten bei ihren Angriffen zum neueren Post-Exploitation C2-Framework Brute Ratel“, erläutert Christopher Budd, Senior Manager, Threat Research bei Sophos.

Angriffe ohne klares Muster

Bei den Angriffen konnte aber kein klares Muster beobachtet werden. Sie erfolgten in den USA, Europa und Asien bei großen Unternehmen, die in verschiedenen Industriesegmenten tätig sind. Die angegriffenen Unternehmen wiesen jedoch bestimmte Schwachstellen in ihrer Umgebung auf, die den Angreifern die Arbeit erleichterten. Dazu gehörten veraltete Systeme, die nicht mehr mit den neuesten Sicherheits-Patches aktualisiert werden konnten, das Fehlen einer mehrstufigen Authentifizierung für VPNs und flache Netzwerke (Netzwerk von gleichberechtigten Knoten)

„Der gemeinsame Nenner all dieser Angriffe ist, dass sie leicht durchzuführen waren”, so Budd. „In einem Fall installierten dieselben BlackCat-Angreifer Kryptominer einen Monat vor dem Start der Ransomware. Unsere jüngsten Untersuchungen machen deutlich, wie wichtig es ist, bewährte Sicherheitsverfahren zu befolgen. Sie können immer noch Angriffe verhindern und vereiteln, auch Mehrfachangriffe auf ein einzelnes Netzwerk.”

Roger Homrich

Recent Posts

Verband der Internetwirtschaft: Digitalisierungsampel der Koalition steht auf rot

Eco macht den 10-Punkte-Check: Ein Jahr nach ihrer Vereidigung konnte die Ampel ihre digitalpolitischen Ziele…

7 Stunden ago

Trends Folge 6: Wie lässt sich in der IT Energie sparen?

Von der Ressourcen- über die Produktions- bis hin zur Verbrauchsfrage: 2023 wird im Zeichen der…

8 Stunden ago

Industriespionage mit chinesischem Hintergrund

Die Bitdefender Labs haben eine komplexe Attacke aufgedeckt und analysiert. Urheber war höchstwahrscheinlich die APT-Gruppe…

8 Stunden ago

Interview: Wo steht Gaia-X heute?

Gaia-X soll Daten-Souveränität und selbstbestimmte Wertschöpfungsketten in einem geschützten Umfeld ermöglichen.

10 Stunden ago

Rekordpatchday: Google stopft im Dezember 232 Löcher in Android

Allein 77 Fixes stehen für die Pixel-Geräte zur Verfügung. Insgesamt 20 Anfälligkeiten stuft Google als…

13 Stunden ago

IDC: PC- und Tabletmarkt schrumpft 2022 voraussichtlich um 12 Prozent

Auch im Jahr 2023 ist nicht mit einem Wachstum zu rechnen. Die Absatzzahlen bleiben aber…

15 Stunden ago