In den letzten Jahren haben Cyberkriminelle ihre Methoden immer weiter verfeinert. Eine der neuesten und gefährlichsten Bedrohungen ist die sogenannte Black Basta-Methode, welche aktuell sehr beliebt bei den digitalen Angreifern ist. Diese Technik kombiniert Phishing und Ransomware-Attacken in einer Weise, die selbst erfahrene Nutzer und fortschrittliche Sicherheitsvorkehrungen oft nicht umgehen können.
Was ist die Black Basta-Methode?
Diese Methode ist eine raffinierte Kombination aus Phishing und Ransomware, die gezielt Unternehmen und Organisationen angreift. Der Name „Black Basta“ bezeichnet nicht nur die Methode selbst, sondern auch die Gruppe von Cyberkriminellen, die hinter dieser Attackentechnik steht. Sie agiert international und ist dafür bekannt, gezielt E-Mail-Spam zu versenden und sich als Helpdesk-Mitarbeiter auszugeben, um sensible Daten zu stehlen und Zugangsinformationen auszuspähen. Kürzlich hat die Gruppe ihre Vorgehensweise angepasst und nutzt nun offenbar auch Microsoft Teams-Chatnachrichten und Anydesk, um Kontakt zu Mitarbeitenden in Unternehmen aufzunehmen.
Was Black Basta besonders gefährlich macht, ist die hohe Professionalität und das technische Know-how, mit dem die Angreifer vorgehen. Oft nutzen sie Zero-Day-Exploits – also Schwachstellen, die bislang unbekannt und daher ungesichert sind – und bedienen sich fortschrittlicher Techniken, um auch gut gesicherte Systeme zu kompromittieren.
Wie funktioniert die Black Basta-Attacke?
- Dem Opfer werden massenhaft Spam-E-Mails gesendet: Der Angriff beginnt mit dem Versand von vielen Spam-E-Mails im Sekundentakt. Statt klassischer Methoden wie dem Ausnutzen von Schwachstellen setzen Cyberkriminelle verstärkt auf das Vertrauen der Nutzer, um Schadsoftware zu verbreiten. Moderne Betriebssysteme bieten Sicherheitsfunktionen wie Antivirenprogramme, die Nutzer häufig vor ungewollter Softwarewarnung schützen. Um diese Maßnahmen zu umgehen, passen Angreifer ihre Taktiken gezielt an.
- Falsche Support-Mitarbeiter melden sich über Microsoft Teams, Anydesk und über Telefon: Die Angreifer täuschen ihre Opfer, indem sie sich über Microsoft Teams als Support- oder IT-Mitarbeiter ausgeben und vertrauenswürdige Namen verwenden. Sie senden gefälschte QR-Codes, die als legitime Unternehmenslinks erscheinen. Da die Aufforderung vom angeblichen Helpdesk kommt, ignorieren die Opfer Sicherheitswarnungen und scannen die Codes, wodurch sie unwissentlich Schadsoftware und Ransomware herunterladen. Zusätzlich nutzen die Angreifer VoIP-Anrufe, um die Opfer zur Installation von Fernwartungssoftware zu bewegen, die ihnen direkten Zugriff auf die Systeme ermöglicht. Die Konten werden unter Entra ID-Mandanten erstellt, die so benannt sind, dass sie als Helpdesk erscheinen, z. B.:
securityadminhelper.onmicrosoft[.]com
. Oft ist auch das Ziel, das Opfer dazu zu bringen, AnyDesk zu installieren oder Quick Assist zu starten, sodass die Angreifer Fernzugriff auf deren Geräte erhalten können. Sobald die Verbindung hergestellt ist, wurden die Angreifer dabei beobachtet, wie sie Schadprogramme mit Namen wie „AntispamAccount.exe,“ „AntispamUpdate.exe“ und „AntispamConnectUS.exe“ installierten.
Wie kann man sich vor der Black Basta-Methode schützen?
Der Schutz vor der Black Basta-Methode erfordert eine Kombination aus technischer Vorsorge, Mitarbeiterschulung und schnellen Reaktionsmechanismen im Ernstfall:
- Sensibilisierung der Mitarbeiter: Da Phishing der häufigste Einstiegspunkt für Black Basta-Attacken ist, sollten Unternehmen ihre Mitarbeiter regelmäßig über die Gefahren von Phishing aufklären. Dazu gehört auch das Training, verdächtige E-Mails und Links zu erkennen und zu melden, ohne darauf zu klicken.
- Microsoft AppLocker: AppLocker hilft Ihnen, Regeln zu erstellen, um die Ausführung von Apps basierend auf deren Dateiinformationen zu erlauben oder zu blockieren. Zudem können Sie damit festlegen, welche Benutzer oder Gruppen Zugriff auf bestimmte Apps haben und diese ausführen dürfen.
- Einschränkung der externen Kommunikation: Stellen Sie in Microsoft Teams und anderen Kommunikationsplattformen sicher, dass nur vertrauenswürdige Kontakte Nachrichten an Mitarbeitende senden können. Auch das Blockieren von externen Nachrichten (wenn möglich) kann eine zusätzliche Schutzschicht bieten.
- Sicherheitsupdates und Patches: Cyberkriminelle nutzen oft Schwachstellen in Software und Betriebssystemen aus. Es ist daher entscheidend, dass alle Programme und Systeme regelmäßig aktualisiert werden. Besonders anfällige Anwendungen, wie E-Mail-Programme und VPN-Software, sollten stets auf dem neuesten Stand gehalten werden.
- Verwendung von Multi-Faktor-Authentifizierung (MFA): MFA bietet eine zusätzliche Sicherheitsebene, die den Zugriff auf Systeme und Konten schützt. Selbst wenn Cyberkriminelle in den Besitz von Zugangsdaten gelangen, benötigen sie zusätzliche Informationen, um den Zugang zu erhalten.
- Netzwerksegmentierung: Die Aufteilung des Netzwerks in verschiedene Segmente kann die Verbreitung von Ransomware begrenzen. Durch eine gute Netzwerksegmentierung wird verhindert, dass sich Angreifer bei einem ersten erfolgreichen Zugang ungehindert in anderen Bereichen des Netzwerks ausbreiten können.
- Backups und Wiederherstellungspläne: Regelmäßige Backups der wichtigsten Daten können helfen, den Schaden im Ernstfall zu begrenzen. Diese Backups sollten offline oder in einem sicheren Cloud-Speicher aufbewahrt werden, der vom Hauptnetzwerk getrennt ist. Ein gut ausgearbeiteter Wiederherstellungsplan sorgt dafür, dass Systeme und Daten im Falle eines Angriffs schnell wiederhergestellt werden können.
- Überwachung und schnelle Reaktion: Eine umfassende Überwachung des Netzwerks auf ungewöhnliche Aktivitäten kann dazu beitragen, verdächtige Vorgänge frühzeitig zu erkennen. Sollte ein Angriff bemerkt werden, ist eine schnelle Reaktion entscheidend, um die Verbreitung der Ransomware zu stoppen und weiteren Schaden zu verhindern.
Fazit
Die Black Basta-Methode zeigt, wie raffiniert und gefährlich moderne Phishing- und Ransomware-Kombinationen sein können. Umso wichtiger ist es, dass Unternehmen und Privatpersonen entsprechende Sicherheitsmaßnahmen ergreifen und sich bewusst sind, dass Cyberkriminelle mit immer ausgefeilteren Methoden arbeiten. Ein effektiver Schutz erfordert neben technischer Vorsorge auch die regelmäßige Schulung und Sensibilisierung der Mitarbeiter sowie eine schnelle Reaktionsfähigkeit im Ernstfall. Nur so kann das Risiko, Opfer einer Black Basta-Attacke zu werden, deutlich reduziert werden.
Um ihr Unternehmen vor Cyberangriffen zu schützen, bieten wir für ihre Mitarbeiter passende Trainings in Zusammenarbeit mit unserem langjährigen Cybersecurity-Partner an:
Benötigen Sie zu diesem Thema Beratung oder Unterstützung?
Sollten Sie Fragen haben, oder Unterstützung benötigen, zögern Sie bitte nicht, uns jederzeit zu kontaktieren.
Unser engagiertes StaffProtect Team steht Ihnen jederzeit zur Verfügung, um Ihre Anliegen professionell und effizient zu bearbeiten. Ganz gleich, ob es um Produktinformationen, Hilfe bei der Nutzung dieser Dienstleistung oder um Lösungen für eventuelle Probleme geht – wir sind für Sie da.
Sie können uns auf verschiedenen Wegen erreichen, sei es per E-Mail unter staffprotect@dwp360.de, telefonisch unter +49 (89) 2441174-00 oder über unser Online-Kontaktformular auf der Website.
Ihre Zufriedenheit ist unser Erfolg, und wir freuen uns darauf, Ihnen behilflich zu sein.