Black Basta Ransomware: Softwareschwachstelle ermöglicht Datenrettung

Black Basta ist eine Ransomware as a Service Gruppe, die ihre Software Cyberkriminellen im DarkNet anbietet. Seit seiner Entstehung Anfang 2022 hat die Black Basta Ransomware-Gruppe mehr als 329 Organisationen angegriffen und dabei Zahlungen in Höhe von mindestens 107 Millionen US-Dollar von über 90 Opfern erhalten. Zu den bemerkenswerten Opfern im Jahr 2022 zählen der Schweizer Technologiekonzern ABB, das britische Outsourcing-Unternehmen Capita und Dish Network. Black Basta, vermutlich ein Ableger der Conti-Gruppe, nutzt doppelte Erpressungstaktiken, indem sie sensible Daten von Opfern exfiltriert, bevor sie deren Netzwerke verschlüsselt und mit der Veröffentlichung der gestohlenen Informationen droht, falls kein Lösegeld gezahlt wird.

Security Research Labs (SRLabs) hat einen Decryptor namens “Black Basta Buster” entwickelt, der eine Schwachstelle in der Verschlüsselungsroutine der Black Basta Ransomware ausnutzt. Dies ermöglicht es Opfern, ihre Dateien kostenlos wiederherzustellen. Der Decryptor kann bei Black Basta-Versionen, die zwischen November 2022 und etwa einer Woche vor dem Erscheinen des Decryptors aktiv waren, eingesetzt werden. Die Entwickler der Ransomware haben den Bug inzwischen behoben, sodass der Decryptor bei neueren Angriffen nicht mehr funktioniert. Für größere Dateien, die viele Null-Byte-Abschnitte enthalten, ist eine Entschlüsselung meist möglich. Die Datenrettung scheint aber nur möglich zu sein bei Dateien die grösser als 5000 Byte sind.

Related Posts

Das richtige Verhalten nach IT Sicherheitsvorfällen

Bei einer Datenpanne, also einem IT-Sicherheitsvorfall, bei dem es zu einer Verletzung des Schutzes personenbezogener Daten kommt, sind bestimmte Schritte nach der Datenschutz-Grundverordnung (DSGVO) erforderlich. Diese Schritte dienen dazu, die Folgen der Panne zu minimieren und die Betroffenen sowie die zuständigen Behörden angemessen zu informieren.

Read More

Hackergruppe R00TK1T behauptet L'Oreal und Quatar Airways gehackt zu haben

Die Hackergruppe R00TK1T behauptet, einen Datenverstoß bei L’Oréal verursacht zu haben, wie auf ihrem Dark-Web-Portal bekannt gegeben wurde. Die Gruppe gibt an, Zugang zu wichtigen Datenbanken des Kosmetikunternehmens erlangt zu haben, was Kundeninformationen und sensible Unternehmensdaten gefährden könnte.

Read More

Malware nutzt Google Oauth, um in Nutzerkonten einzudringen

Malware von Lumma, Rhadamanthys, Stealc, Medusa, RisePro und Whitesnake nutzen derzeit einen undokumentierten Google OAuth-Endpunkt namens “MultiLogin”, um abgelaufene Authentifizierungs-Cookies wiederherzustellen und in Benutzerkonten einzudringen, selbst wenn das Passwort des Kontos zurückgesetzt wurde. Diese Cookies ermöglichen es Cyberkriminellen, unbefugten Zugriff auf Google-Konten zu erlangen, auch nachdem die legitimen Besitzer sich ausgeloggt haben oder ihre Sitzung abgelaufen ist. Diese Vorgehensweise stellt eine erhebliche Bedrohung dar, da sie anhaltenden Zugang zu kompromittierten Konten ermöglicht. Google hat bisher nicht auf Anfragen bezüglich dieser Missbrauchsfälle reagiert.

Read More