Ehemalige Black Basta-Mitglieder nutzen Microsoft Teams und Python-Skripte für Angriffe

LONDON (IT BOLTWISE) – Ehemalige Mitglieder der berüchtigten Black Basta-Ransomware-Gruppe haben sich erneut formiert und nutzen altbewährte Methoden wie E-Mail-Bombardements und Phishing über Microsoft Teams, um sich Zugang zu Netzwerken zu verschaffen.

In der Welt der Cyberkriminalität ist Anpassungsfähigkeit entscheidend. Ehemalige Mitglieder der Black Basta-Ransomware-Gruppe haben dies eindrucksvoll unter Beweis gestellt, indem sie ihre Angriffsstrategien weiterentwickeln. Trotz des Rückschlags, den die Gruppe durch die Veröffentlichung ihrer internen Chat-Protokolle im Februar 2025 erlitt, setzen die Cyberkriminellen ihre Aktivitäten fort. Sie kombinieren altbewährte Methoden wie E-Mail-Bombardements und Phishing über Microsoft Teams mit neuen Techniken, darunter der Einsatz von Python-Skripten, um bösartige Nutzlasten zu verbreiten. Diese Entwicklung zeigt, dass die Bedrohungsakteure weiterhin flexibel und anpassungsfähig sind. Laut einem Bericht von ReliaQuest, der mit The Hacker News geteilt wurde, stammen die Hälfte der beobachteten Phishing-Angriffe über Teams zwischen Februar und Mai 2025 von onmicrosoft[.]com-Domains. Diese Angriffe sind besonders heimtückisch, da sie es den Angreifern ermöglichen, legitimen Datenverkehr zu imitieren. In jüngster Zeit wurden Kunden von ReliaQuest aus den Bereichen Finanzen, Versicherungen und Bauwesen ins Visier genommen, indem die Angreifer sich als Helpdesk-Mitarbeiter ausgaben. Die Schließung der Datenleak-Website von Black Basta deutet darauf hin, dass ehemalige Mitglieder entweder zu einer anderen RaaS-Gruppe gewechselt sind oder eine neue gegründet haben. Es wird vermutet, dass sie sich der CACTUS-RaaS-Gruppe angeschlossen haben, was durch die Erwähnung einer Zahlung von 500-600.000 US-Dollar an CACTUS in den geleakten Chats belegt wird. Interessanterweise hat CACTUS seit März 2025 keine Organisationen mehr auf ihrer Datenleak-Website genannt, was darauf hindeutet, dass die Gruppe entweder aufgelöst wurde oder bewusst versucht, keine Aufmerksamkeit zu erregen. Eine weitere Möglichkeit ist, dass die Mitglieder zu BlackLock gewechselt sind, die wiederum mit einem Ransomware-Kartell namens DragonForce zusammenarbeiten sollen. Die Bedrohungsakteure nutzen den über Teams-Phishing erlangten Zugang, um Remote-Desktop-Sitzungen über Quick Assist und AnyDesk zu initiieren und dann ein bösartiges Python-Skript von einer entfernten Adresse herunterzuladen und auszuführen, um Kommando- und Kontrollkommunikation zu etablieren. Der Einsatz von Python-Skripten in diesen Angriffen unterstreicht eine sich entwickelnde Taktik, die in zukünftigen Phishing-Kampagnen über Teams wahrscheinlich häufiger vorkommen wird. Die Social-Engineering-Strategie im Black Basta-Stil, die eine Kombination aus E-Mail-Spamming, Teams-Phishing und Quick Assist nutzt, hat auch bei der BlackSuit-Ransomware-Gruppe Anklang gefunden. Dies deutet darauf hin, dass BlackSuit-Mitglieder entweder den Ansatz übernommen oder Mitglieder der Gruppe aufgenommen haben. Laut Rapid7 dient der anfängliche Zugriff als Weg, um aktualisierte Varianten eines Java-basierten RAT herunterzuladen und auszuführen, der zuvor als Anmeldeinformationssammler in Black Basta-Angriffen eingesetzt wurde. Die neue Iteration der Malware bietet mehr Funktionen, um Dateien zwischen dem infizierten Host und einem entfernten Server zu übertragen, einen SOCKS5-Proxy-Tunnel zu initiieren, in Webbrowsern gespeicherte Anmeldeinformationen zu stehlen, ein gefälschtes Windows-Anmeldefenster anzuzeigen und eine Java-Klasse von einer angegebenen URL herunterzuladen und im Speicher auszuführen. Die Angriffe sind auch durch den Einsatz eines Tunneling-Backdoors namens QDoor gekennzeichnet, einer Malware, die zuvor BlackSuit zugeschrieben wurde, sowie einer Rust-Nutzlast, die wahrscheinlich ein benutzerdefinierter Loader für das SSH-Dienstprogramm ist, und einem Python-RAT namens Anubis. Diese Entwicklungen kommen zu einer Zeit, in der sich die Ransomware-Landschaft stark verändert. Die finanziell motivierte Gruppe Scattered Spider hat Managed Service Provider (MSPs) und IT-Anbieter im Rahmen eines “One-to-Many”-Ansatzes ins Visier genommen, um durch einen einzigen Kompromiss mehrere Organisationen zu infiltrieren. In einigen Fällen wurden kompromittierte Konten des globalen IT-Dienstleisters Tata Consultancy Services (TCS) ausgenutzt, um anfänglichen Zugriff zu erlangen. Scattered Spider hat gefälschte Anmeldeseiten mit dem Evilginx-Phishing-Kit erstellt, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen, und strategische Allianzen mit großen Ransomware-Betreibern wie ALPHV (auch bekannt als BlackCat), RansomHub und zuletzt DragonForce geschmiedet, um ausgeklügelte Angriffe auf MSPs durchzuführen, indem Schwachstellen in der SimpleHelp-Remote-Desktop-Software ausgenutzt werden. Die Qilin (auch bekannt als Agenda und Phantom Mantis) Ransomware-Betreiber haben zwischen Mai und Juni 2025 eine koordinierte Einbruchskampagne gestartet, die mehrere Organisationen ins Visier nimmt, indem sie Fortinet FortiGate-Schwachstellen (z.B. CVE-2024-21762 und CVE-2024-55591) für den anfänglichen Zugriff ausnutzen. Die Play (auch bekannt als Balloonfly und PlayCrypt) Ransomware-Gruppe wird geschätzt, bis Mai 2025 900 Entitäten kompromittiert zu haben, seit sie Mitte 2022 aufgetaucht ist. Einige der Angriffe haben SimpleHelp-Schwachstellen (CVE-2024-57727) ausgenutzt, um viele US-basierte Entitäten nach der öffentlichen Offenlegung der Schwachstelle ins Visier zu nehmen. Der Administrator der VanHelsing-Ransomware-Gruppe hat den gesamten Quellcode im RAMP-Forum geleakt und interne Konflikte zwischen Entwicklern und Führungskräften angeführt. Die geleakten Details umfassen die TOR-Schlüssel, den Ransomware-Quellcode, das Admin-Webpanel, das Chatsystem, den Dateiserver und den Blog mit seiner vollständigen Datenbank, laut PRODAFT. Die Interlock-Ransomware-Gruppe hat einen bisher undokumentierten JavaScript-Remote-Access-Trojaner namens NodeSnake im Rahmen von Angriffen auf lokale Regierungs- und Hochschulorganisationen im Vereinigten Königreich im Januar und März 2025 eingesetzt. Die Malware, die über Phishing-E-Mails verteilt wird, bietet dauerhaften Zugriff, Systemaufklärung und Remote-Befehlsausführungsfähigkeiten. “RATs ermöglichen es Angreifern, die Kontrolle über infizierte Systeme zu übernehmen, Dateien zuzugreifen, Aktivitäten zu überwachen und Systemeinstellungen zu manipulieren,” sagte Quorum Cyber. “Bedrohungsakteure können einen RAT nutzen, um innerhalb einer Organisation dauerhaft präsent zu bleiben sowie zusätzliche Werkzeuge oder Malware in die Umgebung einzuführen. Sie können auch auf Daten zugreifen, diese manipulieren, zerstören oder exfiltrieren.”

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!