{"id":28475,"date":"2022-04-21T08:27:12","date_gmt":"2022-04-21T06:27:12","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28475"},"modified":"2022-04-21T08:27:12","modified_gmt":"2022-04-21T06:27:12","slug":"black-cat-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/black-cat-ransomware\/28475\/","title":{"rendered":"BlackCat \u2014 Ein neuer Stern am Ransomware-Himmel"},"content":{"rendered":"<p>Nachdem die f\u00fcr die Ransomware BlackMatter und REvil verantwortlichen Cyberkriminellen ihre Aktivit\u00e4t im vergangenen Jahr eingestellt hatten, war das Auftauchen neuer Akteure nur eine Frage der Zeit. Im vergangenen Dezember erschienen erstmals Anzeigen f\u00fcr die Dienste der Cybergruppe ALPHV, auch bekannt als BlackCat. Nach mehreren Vorf\u00e4llen haben unsere Experten des Global Research and Analysis Team (GReAT) beschlossen, die Aktivit\u00e4ten der Gruppe sorgf\u00e4ltig zu analysieren und einen umfassenden Bericht auf <a href=\"https:\/\/securelist.com\/a-bad-luck-blackcat\/106254\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a> zu ver\u00f6ffentlichen.<\/p>\n<p>In den Anzeigen erw\u00e4hnten die Angreifer, dass sie die Fehler und Probleme ihrer Vorg\u00e4nger analysiert und eine verbesserte Version der Malware erstellt h\u00e4tten. Es gibt jedoch Anzeichen daf\u00fcr, dass ihre Beziehung zu BlackMatter und REvil deutlich enger sein k\u00f6nnte, als sie zu zeigen versuchen.<\/p>\n<h2>Wer ist BlackCat und welche Tools nutzen die Akteure?<\/h2>\n<p>Die Entwickler der Ransomware BlackCat bieten ihre Dienste im Rahmen des <em>Ransomware-as-a-Service<\/em> (RaaS)-Schemas an. Mit anderen Worten: Sie bieten anderen Angreifern Zugang zu ihrer Infrastruktur und ihrem Schadcode und erhalten im Gegenzug einen bestimmten Anteil des erpressten L\u00f6segeldes. Dar\u00fcber hinaus sind die Mitglieder der Gruppe BlackCat vermutlich auch f\u00fcr die Verhandlungen mit den Opfern verantwortlich. BlackCat-\u201eFranchisenehmer\u201c m\u00fcssen sich also lediglich Zugang zur jeweiligen Unternehmensumgebung verschaffen. Dieser \u201eRundum-Service\u201c ist auch der Grund, warum BlackCat so schnell an Fahrt gewonnen hat und die Malware bereits zum Angriff von Unternehmen auf der ganzen Welt eingesetzt wird.<\/p>\n<p>Das Arsenal von BlackCat besteht aus mehreren Elementen. Das erste ist der gleichnamige Kyrptor, der in der Programmiersprache Rust geschrieben ist. Diese Eigenschaft hat es den Angreifern \u00fcbrigens erm\u00f6glicht, ein plattform\u00fcbergreifendes Tool mit Versionen der Malware zu erstellen, die sowohl in Windows- als auch in Linux-Umgebungen funktionieren.<\/p>\n<p>Hinzu kommt das Dienstprogramm Fendr, das zum Exfiltrieren von Daten aus infizierter Infrastruktur verwendet wird. Der Einsatz dieses Tools deutet darauf hin, dass BlackCat schlichtweg ein Rebranding der BlackMatter-Fraktion sein k\u00f6nnte \u2013 sie waren bislang die einzigen Akteure, die dieses Tool, das auch unter dem Namen ExMatter bekannt ist, eingesetzt haben.<\/p>\n<p>BlackCat verwendet zudem das PsExec-Tool f\u00fcr sogenannte <em>Lateral Movements<\/em> (Seitw\u00e4rtsbewegungen) im Netzwerk des Opfers; sowie die bekannte Hacker-Software Mimikatz und die Software Nirsoft zum Extrahieren von Netzwerkpassw\u00f6rtern.<\/p>\n<p>Weitere technische Informationen \u00fcber die von BlackCat eingesetzten Tools und Methoden sowie Indikatoren, die auf eine Kompromittierung hinweisen, finden Sie in diesem <a href=\"https:\/\/www.kaspersky.de\/blog\/anti-ransomware-strategy\/28455\/\" target=\"_blank\" rel=\"noopener\">Blogbeitrag<\/a>.<\/p>\n<h2>Wen hat BlackCat im Visier?<\/h2>\n<p>Unter den BlackCat-Vorf\u00e4llen machten unsere Experten mindestens einen Angriff auf ein s\u00fcdamerikanisches Industrieunternehmen, das in den Bereichen \u00d6l, Gas, Bergbau und Bauwesen t\u00e4tig ist, sowie die Infektion mehrerer Kunden eines WWS-Anbieters aus dem Nahen Osten ausfindig.<\/p>\n<p>Beunruhigend ist vor allem die Entwicklung des Dienstprogramms Fendr. Aktuell kann das Tool im Vergleich zu fr\u00fcheren Angriffen der BlackMatter-Gruppe eine deutlich gr\u00f6\u00dfere Auswahl an Dateien herunterladen. Cyberkriminelle haben k\u00fcrzlich die M\u00f6glichkeit hinzugef\u00fcgt, Dateien mit folgenden Erweiterungen ausfindig zu machen: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt und .dxf. Diese Dateitypen beziehen sich auf Industriedesignanwendungen und Fernzugriffstools, was darauf hindeuten k\u00f6nnte, dass Malware-Ersteller industrielle Umgebungen im Visier haben.<\/p>\n<h2>So k\u00f6nnen Sie sich sch\u00fctzen<\/h2>\n<p>Um Ihr Unternehmen vor dem Verlust wichtiger Informationen zu sch\u00fctzen, empfehlen wir zun\u00e4chst alle Unternehmensger\u00e4te mit einer <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">vetrauensw\u00fcrdigen Sicherheitsl\u00f6sung<\/a> auszustatten. Dar\u00fcber hinaus, sollten <a href=\"https:\/\/k-asap.com\/de\/?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">Mitarbeiter immerhin die Grundlagen der Informationssicherheit<\/a> beherrschen.<\/p>\n<p>Da Ransomware-as-a-Service auf dem Vormarsch ist, ist es f\u00fcr jedes Unternehmen wichtiger denn je, auf m\u00f6gliche Vorf\u00e4lle mit einer mehrstufigen <a href=\"https:\/\/www.kaspersky.de\/blog\/anti-ransomware-strategy\/28455\/\" target=\"_blank\" rel=\"noopener\">Anti-Ransomware-Strategie<\/a> vorbereitet zu sein.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-ransomware\">\n","protected":false},"excerpt":{"rendered":"<p>Unsere Experten haben die Aktivit\u00e4ten und Tools der Ransomware-Gruppe BlackCat analysiert.<\/p>\n","protected":false},"author":2581,"featured_media":28476,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[3952,3026,535],"class_list":{"0":"post-28475","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-encryptors","9":"tag-kryptoren","10":"tag-ransomware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/black-cat-ransomware\/28475\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/black-cat-ransomware\/24055\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/black-cat-ransomware\/19541\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/black-cat-ransomware\/26379\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/black-cat-ransomware\/24326\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/black-cat-ransomware\/24673\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/black-cat-ransomware\/27085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/black-cat-ransomware\/33086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/black-cat-ransomware\/10634\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/black-cat-ransomware\/44120\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/black-cat-ransomware\/18784\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/black-cat-ransomware\/19314\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/black-cat-ransomware\/24954\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/black-cat-ransomware\/30406\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/black-cat-ransomware\/30174\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28475","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=28475"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28475\/revisions"}],"predecessor-version":[{"id":28477,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28475\/revisions\/28477"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/28476"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=28475"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=28475"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=28475"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}