Free

Schlag gegen Ransomware-Gruppe BlackCat

Das US-Justizministerium hat die BlackCat-Ransomware-Gruppe zerschlagen und ein kostenloses Tool veröffentlicht, um über 500 Opfern Zugang zu ihren gesperrten Dateien zu verschaffen. Das FBI arbeitete mit einer vertraulichen Quelle zusammen, um Zugang zu einem Web-Panel der BlackCat-Gruppe zu erhalten. Die Operation wurde in Kooperation mit Strafverfolgungsbehörden aus den USA, Deutschland, Dänemark, Australien, Großbritannien, Spanien, der Schweiz und Österreich durchgeführt.

Bedrohungen
Lesezeit 3 Min.

BlackCat, auch bekannt als ALPHV, GOLD BLAZER und Noberus, wurde erstmals im Dezember 2021 entdeckt und ist nach LockBit die zweithäufigste Variante von Ransomware-as-a-Service weltweit. Es ist der erste Ransomware-Typ, der auf der Programmiersprache Rust basiert und im öffentlichen Internet aufgetaucht ist.

Es gab Spekulationen über eine mögliche Strafverfolgungsaktion, nachdem das Dark-Web-Leak-Portal am 7. Dezember offline ging und fünf Tage später mit nur einem einzigen Opfer wieder auftauchte.

Das FBI hat mit vielen Opfern in den USA zusammengearbeitet, um ein Entschlüsselungsprogramm zu erstellen und sie vor Lösegeldforderungen von insgesamt 68 Millionen Dollar zu schützen. Zudem erlangte das FBI Einblicke in das Computernetzwerk der Ransomware und sammelte 946 öffentlich-private Schlüsselpaare, die für die von der Gruppe betriebenen TOR-Sites verwendet wurden, um diese zu deaktivieren. Das Erstellen einer versteckten .onion-URL im TOR-Netzwerk generiert ein einzigartiges Schlüsselpaar. Dieses Paar besteht aus einem privaten und einem öffentlichen Schlüssel (auch als Identifikator bekannt), die für den Zugriff und die Steuerung der URL verwendet werden können. Wer im Besitz dieses Schlüsselpaars ist, kann den Datenverkehr für die .onion-Website auf einen anderen Server umleiten, den er kontrolliert.

BlackCat nutzt ähnlich wie andere Ransomware-Banden ein Ransomware-as-a-Service-Modell. Dabei gibt es Hauptentwickler und Partnerunternehmen, welche die schädlichen Programme vermieten und gezielt hochrangige Ziele identifizieren und angreifen.

Zusätzlich wendet die Gruppe ein doppeltes Erpressungsschema an: Sie stiehlt sensible Daten und droht mit Veröffentlichung, bevor sie sie verschlüsselt, um die Opfer zum Zahlen zu zwingen.

Das US-Justizministerium berichtet, dass BlackCat-Mitglieder verschiedene Methoden nutzen, um in die Netzwerke der Opfer einzudringen – an erster Stelle steht das Ausnutzen von gehackten Benutzerdaten. Es wird geschätzt, dass diese kriminelle Gruppe bis September 2023 die Netzwerke von über 1.000 Opfern weltweit infiltriert hat und dabei illegal fast 300 Millionen US-Dollar abgeräumt hat.

Für rivalisierende Gruppen wie LockBit hat sich die Zerschlagung von BlackCat eher als positiv erwiesen. LockBit nutzt die Situation bereits aus, indem Mitglieder aktiv ehemalige Partner von BlackCat rekrutieren und ihre Datenleck-Seite nutzen, um Gespräche mit den Opfern wieder aufzunehmen.

Ein Sprecher von BlackCat teilte der Malware-Forschungsgruppe vx-underground mit, dass die Gruppe ihre Server und Blogs verschoben hat. Er behauptete, dass die Strafverfolgungsbehörden nur Zugang zu einem veralteten Schlüssel für eine alte Blog-Seite hatten, die von der Gruppe vor langer Zeit gelöscht wurde und nicht mehr genutzt wird.

Die neueste Leak-Website des Bedrohungsakteurs scheint nach wie vor aktiv zu sein. Wie Secureworks berichtet, sind seit der Veröffentlichung des ersten Opfers am 13. Dezember bis zum 19. Dezember weitere fünf Opfer auf der neuen Website dazugekommen. Das deutet darauf hin, dass die Gruppe immer noch eine gewisse operative Kapazität besitzt.

Kurz nach der Löschung unternahm die BlackCat-Gruppe Maßnahmen, um ihre Haupt-Leak-Site zu „entsperren“. Sie verwendete die gleichen kryptografischen Schlüssel, die für das Hosting des versteckten Dienstes im TOR-Netzwerk benötigt wurden. Und weil sich die Gruppe von der Erklärung des FBI offenbar auf den Schlips getreten fühlte, veröffentlichte sie ihre eigene Beschlagnahmungserklärung.

Die Gruppe hat außerdem ihren Mitgliedern grünes Licht gegeben, als Vergeltungsmaßnahme kritische Infrastruktureinrichtungen wie Krankenhäuser und Kernkraftwerke sowie andere Ziele zu infiltrieren. Allerdings sollen Ziele innerhalb der Gemeinschaft Unabhängiger Staaten (GUS) ausgenommen sein. Das FBI hat die Website inzwischen erneut überprüft.

Das Posten solcher Nachrichten soll wohl eine gewisse Bedrohungskulisse erzeugen, wirkt aber eher wie Prahlerei, so die Secureworks Counter Threat Unit (CTU). „Denn Angesichts der Tatsache, dass solche Aktivitäten eher die Aufmerksamkeit der Strafverfolgungsbehörden auf sich ziehen – weshalb viele Gruppen dies ausdrücklich vermeiden – scheint es unwahrscheinlich, dass sich die Mitglieder dafür entscheiden, gezielt solche Organisationen anzugreifen. Dies gilt umso mehr, als Ransomware größtenteils ein Gelegenheitsverbrechen ist und darauf basiert, Zugang zu den Netzwerken der Opfer zu haben.“

„Allerdings könnten einige weniger risikoaverse Partner eher bereit sein, Energie- und Gesundheitsorganisationen ins Visier zu nehmen. Die negative Seite dieser Situation ist, dass die Unterbrechung der Strafverfolgung Partner von BlackCat zu anderen Ransomware-Betreibern wie LockBit treiben wird. Solche Eingriffe erzeugen Misstrauen und Paranoia unter den Mitgliedern und Partnern von Ransomware-Gruppen.“ Ein Administrator von LockBit beschrieb die Lage in einem Gespräch mit vx-underground als „unglücklich“ und betonte, dass Sicherheitslücken in ihrer Infrastruktur eine Hauptbedrohung für „mein Geschäft“ darstellen.

Diesen Beitrag teilen: