Forscher verbinden CACTUS-Ransomware-Taktiken mit ehemaligen Black-Basta-Affiliates
Bedrohungsakteure um die Ransomware-Familien Black Basta und CACTUS nutzen das gleiche BackConnect-Modul (BC), um dauerhaft die Kontrolle über infizierte Computer zu behalten. Dies deutet darauf hin, dass ehemalige Black-Basta-Angreifer nun auf CACTUS umgestiegen sind.
„Nach der Infiltration erhalten die Angreifer umfangreiche Fernzugriffsrechte, um Befehle auszuführen“, so eine Analyse von Trend Micro. „So können sie sensible Informationen wie Anmeldedaten, Finanzdaten und persönliche Dateien stehlen.“ Das BC-Modul, das Trend Micro QBACKCONNECT nennt, wurde erstmals Ende Januar 2025 von den Cyber-Teams von Walmart und Sophos entdeckt. Letztere gaben der Angriffsinfrastruktur den Namen STAC5777.
Neue Methoden nach QakBot-Zerschlagung
Im vergangenen Jahr setzten Black-Basta-Angriffeverstärkt auf E-Mail-Bombing, um ihre Opfer dazu zu bringen, das Fernwartungstool Quick Assist zu installieren. Die Angreifer gaben sich dabei als IT-Support-Mitarbeiter aus.
Sobald sie Zugriff hatten, luden sie eine bösartige DLL-Datei („winhttp.dll“) mit dem Namen REEDBED nach. Dafür nutzten sie die legitime Microsoft-Datei OneDriveStandaloneUpdater.exe, die eigentlich für Updates von Microsoft OneDrive gedacht ist. Diese Datei fungierte als Loader und entschlüsselte anschließend das BC-Modul.
Da die QakBot-Infrastruktur durch eine Strafverfolgungsaktion zerschlagen wurde, mussten die Angreifer neue Methoden für den Erstzugriff entwickeln. Die Verwendung von QBACKCONNECT deutet darauf hin, dass enge Verbindungen zwischen Black Basta und den Entwicklern von QakBot bestehen.
Trend Micro entdeckte zudem eine Attacke mit der CACTUS-Ransomware, die den gleichen Ablauf zur Bereitstellung von BackConnect nutzte. Die Angreifer führten anschließend weitere schädliche Aktionen aus, darunter die seitliche Bewegung im Netzwerk und das Abgreifen von Daten. Allerdings scheiterte ihr Versuch, das Netzwerk des Opfers zu verschlüsseln.
Verbindung zwischen Black Basta und CACTUS
Eine weitere Gemeinsamkeit zwischen den beiden Ransomware-Gruppen ist die Nutzung des PowerShell-Skripts TotalExec, mit dem die Verschlüsselungssoftware automatisch ausgerollt wird.
Diese Parallelen sind besonders vor dem Hintergrund brisant, dass kürzlich interne Chatprotokolle von Black Basta geleakt wurden. Diese bieten tiefere Einblicke in die Arbeitsweise der Cybercrime-Gruppe. Dabei wurde bekannt, dass Mitglieder der finanziell motivierten Gruppe gültige Zugangsdaten untereinander teilten. Einige dieser Daten stammten aus Information-Stealer-Logs. Wichtige Einfallstore für die Angriffe sind zudem Zugänge über das Remote-Desktop-Protokoll (RDP) und VPN-Endpunkte.
Laut Trend Micro setzen die Angreifer eine Kombination aus Vishing (betrügerische Anrufe), Quick Assist als Fernzugriffstool und BackConnect ein, um ihre Black-Basta-Ransomware zu verbreiten.
Es gibt deutliche Hinweise darauf, dass ehemalige Mitglieder von Black Basta zur CACTUS-Ransomware-Gruppe gewechselt sind. Die Ähnlichkeiten in den eingesetzten Taktiken, Techniken und Vorgehensweisen (TTPs) untermauern diese Vermutung.