QBot verbreitet jetzt Black Basta-Ransomware in Bot-gestützten Angriffen

Die Ransomware Black Basta kann sich nun seitlich in betroffenen Unternehmensumgebungen ausbreiten. Die Ransomware ist nun in der Lage, sich der Erkennung zu entziehen, indem sie den Windows Defender deaktiviert und Backups löscht. Die spezielle Windows-Malware - QBot - wird insbesondere dazu verwendet, Rechner zu infizieren und Bankdaten und Domänenanmeldeinformationen zu stehlen.

Sie kann auch verwendet werden, um einen Computer direkt zu infizieren oder die Tür für eine weitere Infektion des Computers mit anderen Malware-Nutzlasten zu öffnen. Jetzt verbreitet sich die Infektion über Phishing-E-Mail-Angriffe, bei denen die Malware Dateien sperrt und von den Opfern Zahlungen verlangt. Sie sollten sich also einen Österreich VPN für Benutzer runterladen, damit sie gar nicht erst Opfer solcher Attacken werden. Die Malware begann als Banking-Trojaner, aber kriminelle Gruppen arbeiteten zusammen und nutzten die Bedrohung, um Ransomware-Bedrohungen wie MegaCortex, DopplePaymer und Egregor zu verbreiten. Forscher berichteten, dass die neuen Black Basta File Locker-Angriffe auf laterale Bewegungen durch den Einsatz dieser QBot-Malware und andere Funktionen setzen, die es der Bedrohung ermöglichen, sich der Erkennung und dem Reverse Engineering zu entziehen.

Bei der Ransomware Black Basta scheint es sich um eine Bedrohung zu handeln, die sich weiterentwickeln und ihre Verhandlungsmethoden ändern kann, je nach dem jeweiligen Opfer. Dies zeigt, dass es sich nicht um eine völlig neue Bedrohung handelt, sondern um eine Ransomware-Gang, die frühere Malware umbenennt und neue Kampagnen veröffentlicht.

Eine Zusammenarbeit zwischen QBot und einer anderen Ransomware-Gang:

Black Basta Ransomware ist eine seit einigen Monaten bekannte Bedrohung. Die Bedrohungsbande hat sich sofort auf diese bösartigen Operationen gestürzt und es geschafft, innerhalb weniger Wochen in zwölf Unternehmen einzudringen. Die erste Version der Ransomware tauchte im April auf, und diese Operationen wurden auf ai bei verschiedenen globalen Unternehmen umgeleitet.

QBot wird in der Regel für den ersten Zugriff verwendet, aber diese Bande nutzt diese Malware, um sich seitlich im Netzwerk auszubreiten. Die Malware erstellt per Fernzugriff die temporären Dienste auf dem Zielhost und konfiguriert ihn so, dass die DLL gestartet wird. Sobald die Malware ausgeführt wird, kann sie Malware in Netzwerkfreigaben und -laufwerken bereitstellen, Konten erzwingen, das SMB-Dateifreigabeprotokoll verwenden, um Duplikate des Virus zu erstellen, und sich über Standard-Administratorfreigaben unter Verwendung von Benutzeranmeldeinformationen verbreiten.

Zu den zusätzlichen Verbesserungen dieser neuen Kampagnen gehört die Deaktivierung von Windows Defender auf dem betroffenen Computer. Black Basta Ransomware verfügt nun über einige Merkmale, die es ermöglichen, das Hintergrundbild-Symbol zu ändern und Schattenkopien zu löschen, um eine einfache Wiederherstellung von Dateien zu verhindern, wenn diese mit dem .basta-Anhang markiert sind. Die Deaktivierung von Windows Defender minimiert die Wahrscheinlichkeit, dass Verschlüsselungs- und Erpressungsprozesse fehlschlagen.

Eine neue Tradition bei Ransomware: doppelte Erpressung

Bei der Ransomware handelt es sich um einen Dateisperrer, der versucht, Geld zu verdienen, indem er von den Opfern eine direkte Zahlung verlangt. Da diese Bedrohungsakteure Geld von Unternehmen verlangen, hängt die Höhe des Lösegelds in erster Linie von der Größe des Unternehmens ab, aber die geforderte Summe beträgt in der Regel 2 Millionen US-Dollar. Die Kriminellen behaupten, dass die betroffenen Daten wiederhergestellt werden können, sobald das Opfer gezahlt hat, und dass die Daten nicht online durchsickern werden.

Die Infektion zielt darauf ab, den Schöpfern Profit zu verschaffen. Daher stiehlt die Malware Daten, bevor sie die häufig verwendeten oder wertvollen Dateien auf dem Zielcomputer verschlüsselt. Black Basta Ransomware stiehlt verschiedene Dateien, die mit Unternehmen verbunden sind und private oder sensible Details enthalten können. Dann verschlüsselt die Bedrohung Geräte mit Verschlüsselungsalgorithmen.

Dies ist eine gängige Taktik, die von verschiedenen anderen Ransomware-Gruppen verwendet wird: Die Methode der doppelten Erpressung stellt sicher, dass die Bedrohungsakteure in jedem Fall Geld von den Opfern erhalten. Das Geld wird für das angebliche Entschlüsselungstool und für das Versprechen verlangt, dass die in der ersten Phase gestohlenen Daten nicht veröffentlicht werden.