Black Basta: Sicherheitsbedrohung durch Quick Assist

Black Basta: Storm-1811 verankert Ransomware via Quick Assist

Überblick des Sicherheitsvorfalls


Das Microsoft Threat Intelligence-Team hat kürzlich eine Warnung ausgesprochen. Seit Mitte April missbraucht die Hackergruppe Storm-1811 das Client-Management-Tool Quick Assist für Social-Engineering-Angriffe. Diese Kampagne führt zur Verbreitung der Black Basta-Ransomware.



Angriffsverlauf: Von Voice-Phishing zu Black Basta


Begonnen haben die Angriffe mit Voice-Phishing (Vishing). Wie in einem Blogbeitrag von Microsoft beschrieben folgte der Einsatz von Fernüberwachungstools wie ScreenConnect und NetSupport Manager. Malware wie Cobalt Strike und Qakbot kam ähnlich wie zum Einsatz, bevor schließlich die Black Basta-Ransomware aktiviert wurde.



Aktionsgeschichte von Black Basta


Black Basta ist seit 2022 aktiv. CISA und das FBI berichten: Zwischen April 2022 und Mai 2024 traf die Ransomware über 500 Organisationen weltweit, darunter ebenfalls den deutschen Rüstungskonzern Rheinmetall.



Das Geschäftsmodell hinter Black Basta


Das Ransomware-as-a-Service (RaaS) Modell beschreibt Black Basta. Jedoch ist es ein geschlossenes Angebot – verbreitet von wenigen Akteuren. Dieses schließt viele typische Eigenschaft ein - hohe Effizienz und gezielte Attacken.



Finanzielle Auswirkungen und Erfolge


Mindestens 100 Millionen US-Dollar an Lösegeld verlangten sie bereits. Opferzahl? Über 90 Menschen zahlten bis November 2023. Partnerschaften mit Cybersicherheitsunternehmen wie Elliptic und Corvus Insurance bestätigen diese Zahlen.



Der Missbrauch von Quick Assist und Social Engineering


Microsoft warnt: Der Angriff beginnt mit der Registrierung der E-Mail-Adresse des Opfers bei mehreren E-Mail-Diensten um den Posteingang zu überschwemmen. Vermeintliche IT-Supportanrufe bieten Hilfe gegen den Spam an. So verschaffen sich die Angreifer Zugriff über Quick Assist.



Quick Assist im Detail


Quick Assist öffnet der Benutzer durch die Kombination STRG + Windows + Q. Ein Sicherheitscode vom Angreifer bereitgestellt wird benötigt. Der Zugriff erlaubt dem Bedrohungsakteur schließlich, volle Kontrolle über das Gerät zu erlangen.



Funktionen und Missbrauch von Quick Assist


Die Software integriert in Windows 11 ermöglicht Benutzern, ihr Gerät zur Problemlösung zu teilen. Missbraucht wird es nun, bei Black Basta-Angriffen.



Koloskopische Schritte der Angreifer


Malware wird über scriptgestützte cURL-Befehle heruntergeladen. Diese Art Angriffe - oft erfolgen sie durch das Remote Management Monitoring (RMM) mit Tools wie ScreenConnect - erweitern Rechte und steuern Geräte.



Seitliche Bewegungen und Netzwerkausweitung


Schließlich bewegen sich die Angreifer seitlich durch das Zielnetzwerk. Die Schwarze Basta-Variante der Ransomware verbreiten sie über Windows PsExec.



Microsofts Empfehlungen - Präventive Maßnahmen


Um Angriffe zu unterbinden, Vorschläge Microsoft: Quick Assist und vergleichbare Tools, nicht verwendet von IT-Abteilungen, sollten blockiert oder deinstalliert werden. Dies sei ratsam. Schulungen der Mitarbeiter hinsichtlich Cyber-Angriffe empfielt Microsoft zudem wärmstens.



Zusätzliche Sicherheitsmaßnahmen


"Eine Verbindung über Quick Assist sollte nur erlaubt werden", so Microsoft, "wenn direkte Kontaktaufnahme mit dem Microsoft-Support oder IT-Personal Sie dazu auffordert. Gewähren Sie keinem Zugriff – der dringende Hilfe vorgibt zu benötigen."



Zukünftige Warnmeldungen und Transparenz


Untersuchungen seitens Microsoft sollen Quick Assist optimieren - Transparenz und Vertrauen stärken. Zukünftig planen sie Warnmeldungen zur Identifikation von Betrügereien zu integrieren.



"Microsofts Bestreben: Transparenz und Vertrauen steigern um Benutzer vor Betrügereien zu warnen und Quick Assist sicherer zu gestalten," teilt das Unternehmen beendend mit.






Kommentare


Anzeige