Direkt zum Inhalt

Die Landesbehörde für Cybersicherheit in Baden-Württemberg

BlackBasta

BlackBasta erregte in kurzer Zeit durch effektive und zerstörerische Angriffe auf Unternehmen weltweit Aufmerksamkeit. Die Gruppierung konnte von April 2022 bis Mai 2024 über 500 Unternehmen verschlüsseln. BlackBasta nutzt die Double-Extortion-Taktik, indem sie Daten stiehlt und mit der Veröffentlichung droht, falls kein Lösegeld gezahlt wird.
Grüner CSBW Icon mit Menschen und Blitzen

Akteur

  • Ransomware-Akteur
  • Seit April 2022 aktiv
  • Herkunft: Russland
Grüner CSBW Icon mit Zahnrädern

Eingesetzte Malware

  • Ransomware
Grüner CSBW Icon mit Schild und Haken

Schutzmaßnahmen

Handlungsempfehlungen zu Ransomware erhalten Sie beim Klick auf den Link
Grüner CSBW Icon mit PC und Sternchen auf dem Desktop

Angriffsmethoden

BlackBasta verwendet eine Kombination aus Phishing, Exploits und möglicherweise gestohlenen Anmeldedaten, um in die Netzwerken ihrer Opfer einzudringen. BlackBasta verbreitet die Ransomware schnell im gesamten Netzwerk, um Daten zu verschlüsseln und Systeme zu sperren.

 

Auszug aus Wissensdatenbank MITRE ATT&CK®:

  • T1566.001. Phishing: Spear phishing Attachment 
  • T1569.002. System Services: Service Execution 
  • T1047. Windows Management Instrumentation 
  • T1059.001. Command and Scripting Interpreter: PowerShell 
  • T1136. Create Account 
  • T1098. Account Manipulation 
  • T1543.003. Create or Modify System Process: Windows Service
  • T1574.001. Hijack Execution Flow: DLL Search Order Hijacking 
  • T1484.001. Domain Policy Modification: Group Policy Modification 
  • T1574.001. Hijack Execution Flow: DLL Search Order Hijacking 
  • T1543.003. Create or Modify System Process: Windows Service
  • T1484.001. Domain Policy Modification: Group Policy Modification 
  • T1218.010. System Binary Proxy Execution: Regsvr32 
  • T1070.004. Indicator Removal on Host: File Deletion 
  • T1112. Modify Registry
  • T1140. Deobfuscate/Decode Files or Information 
  • T1562.001. Impair Defenses: Disable or Modify Tools 
  • T1562.004. Impair Defenses: Disable or Modify System Firewall
  • T1562.009. Impair Defenses: Safe Boot Mode 
  • T1574.001. Hijack Execution Flow: DLL Search Order Hijacking 
  • T1622. Debugger Evasion 
  • T1555. Credentials from Password Stores 
  • T1087.002. Account Discovery: Domain Account 
  • T1016. System Network Configuration Discovery 
  • T1082. System Information Discovery 
  • T1622. Debugger Evasion 
  • T1021.001. Remote Services: Remote Desktop Protocol 
  • T1560.001. Archive Collected Data: Archive via Utility 
  • T1567. Exfiltration over Web Service
  • T1219. Remote Access Software 
  • T1573. Encrypted Channel 
  • T1486. Data Encrypted for Impact
  • T1489. Service Stop 
  • T1490. Inhibit System Recovery
Grüner CSBW Icon mit Sprechblase und Info "i"

Weitere Informationen

  • Überwiegende Angriffsziele:
    • USA
    • Deutschland
    • Kanada
    • Frankreich
  • Häufig angegriffene Branchen:
    • Finanzsektor
    • Gesundheitswesen
    • Energie
    • Technologie
  • Verbindung zu FIN7
  • Entwicklung und Pflege eigener Toolkits