Ein Insider der Organisation hinter der Ransomware "Black Basta" hat Chatnachrichten veröffentlicht, welche Einblicke in die Struktur der "Black Basta"-Organisation erlauben.

Warum ist das interessant?

Früher oder später können auch Sie Opfer eines Ransomware-Angriffs werden. Ein Ransomware-Angriff ist ein Cyberangriff, bei dem Schadsoftware Daten eines Opfers verschlüsselt, um Lösegeld für deren Entschlüsselung zu erpressen. Mit den jetzt veröffentlichten Daten, können Sie selbst herausfinden, wie die Cyberkriminellen vorgehen. Denn die Chatprotokolle wurden in ChatGPT hochgeladen, so dass Sie jetzt dem Ransomware-Chatbot Ihre eigenen Fragen stellen können (Link zum Chatbot). Die folgenden zwei Fragen fand ich besonders interessant:

Wie werden die Opfer ausgewählt?

Die Antwort vom Ransomware-Chatbot:

  1. Nutzung von Zugangsdaten aus Datenlecks und Darknet-Marktplätzen
  • Es gibt Hinweise darauf, dass kompromittierte Zugangsdaten für verschiedene Systeme gesammelt und genutzt werden, um sich unautorisierten Zugang zu Netzwerken zu verschaffen​​.
  • Mehrere Erwähnungen von RDP- und Citrix-Zugangsdaten lassen darauf schließen, dass Unternehmen mit schlecht gesicherten Remote-Zugängen bevorzugte Ziele sind​​.
  1. Scannen von IP-Adressen und offenen Ports
  • Es wird aktiv nach verwundbaren Servern gesucht, insbesondere ESXi-Hosts, Jenkins-Servern und Citrix-Systemen​.
  • Dienste wie Shodan und FOFA werden explizit genannt, um angreifbare Infrastrukturen zu identifizieren​.
  1. Phishing und Social Engineering
  • Es gibt Hinweise darauf, dass gezielte Phishing-Kampagnen durchgeführt werden, um Anmeldedaten zu stehlen oder Zugang zu internen Systemen zu erhalten​.
  • In einigen Chats wird diskutiert, wie ein gefälschter Anruf vom IT-Support durchgeführt werden kann, um sich bei Unternehmen als legitime Mitarbeiter auszugeben​.
  1. Gezielte Auswahl nach Branche und finanzieller Kapazität
  • In den Unterhaltungen wird mehrfach über die Auswahl von "lukrativen" Zielen gesprochen. Insbesondere Unternehmen aus dem Finanz-, Logistik- und Gesundheitssektor scheinen bevorzugt ins Visier genommen zu werden​.
  • Es werden Informationen aus ZoomInfo und anderen Unternehmensdatenbanken genutzt, um finanzielle Details und interne Strukturen des Unternehmens zu verstehen​.
  • Es gibt auch Diskussionen über die Filterung von potenziellen Opfern auf Grundlage ihrer Größe und Zahlungsfähigkeit​.
  1. Testinfektionen vor der eigentlichen Attacke
  • In mehreren Nachrichten wird erwähnt, dass eine kleine Anzahl von Unternehmen zunächst getestet wird, bevor eine größere Welle von Angriffen gestartet wird​.
  • Die Cyberkriminellen versuchen, nicht sofort aufzufallen und testen ihre Methoden zuerst in begrenztem Umfang.

Die Angreifer betreiben also eine umfassende Aufklärung über ihre Opfer, bevor sie zuschlagen.

 

Wie wird das Lösegeld verhandelt?

Die Verhandlungen um das Lösegeld folgen einer strukturierten Vorgehensweise, die mehrere Taktiken umfasst:

  1. Kontaktaufnahme und Einführung
  • Die Erpresser stellen sich in einem sicheren Chatraum vor und klären die Opfer über die Situation auf.
  • Sie betonen ihre "Professionalität" und versuchen, sich von anderen Gruppen abzugrenzen, indem sie ihre eigene Reputation hervorheben​.
  1. Festlegung des Forderungsbetrags
  • Die initiale Lösegeldforderung basiert auf der Größe des Unternehmens, seiner finanziellen Situation und der Menge der verschlüsselten/exfiltrierten Daten.
  • Manchmal wird eine reduzierte Zahlung akzeptiert, wenn das Opfer glaubwürdig nachweist, dass es die geforderte Summe nicht aufbringen kann​.
  1. Verhandlungstaktiken
  • Druckausübung: Die Angreifer setzen Opfer unter Druck, indem sie drohen, gestohlene Daten zu veröffentlichen oder weiterzuverkaufen​.
  • Rabatte für schnelle Zahlung: In manchen Fällen bieten sie einen 20%-Rabatt, wenn das Opfer innerhalb von 48 Stunden zahlt​.
  • Testentschlüsselung: Den Opfern wird in manchen Fällen die Möglichkeit geboten, eine Datei kostenlos entschlüsseln zu lassen, um die Funktionalität des Decryptors zu beweisen​.

Die Angreifer nutzen also eine Mischung aus Drohungen, strategischen Zugeständnissen und psychologischem Druck, um ihre Opfer zur Zahlung zu bewegen.

 

 

Rechtsanwalt Robert Harzewski

Verwandte Beiträge