ImageFlow – Shutterstock.com
Seit ihrem ersten Auftreten im Jahr 2022 müssen sich immer mehr Unternehmen mit den aggressiven Angriffsmethoden der Black-Basta-Gruppe auseinandersetzen. Ihre Angriffe zielen auf sämtliche Branchen ab und sind auf hochentwickelten Verschlüsselungstechniken aufgebaut, die nur einem Ziel dienen: Daten zu sperren und Lösegeldforderungen zu stellen.
Die Attacken folgen dabei oft dem Prinzip der doppelten Erpressung („Double Extortion“): Neben der Verschlüsselung der Daten drohen die Angreifenden mit der Veröffentlichung sensibler Informationen, um zusätzlichen Druck auf die Opfer auszuüben.
Angriffsmethoden
Die Gruppe verschickt groß angelegte Spam-Kampagnen, um Mitarbeitende zu täuschen und Zugang zu Netzwerken zu erhalten. Dabei setzen die Akteure vor allem auf die Methode, sich als IT-Helpdesk-Mitarbeitende auszugeben und so das Vertrauen der Mitarbeitenden zu gewinnen. In den Chats fordern sie die Installation von Fernzugriffssoftware wie unter anderem Anydesk, um direkten Zugriff auf die Systeme zu erhalten.
Vor allem zum Jahresende 2024 gab es eine Reihe von Angriffen, die im Zusammenhang mit Black Basta standen und darauf abzielten, zwischen den Jahren Geld zu erpressen. Dabei handelt es sich um ein besonders sensibles Zeitfenster, da viele Unternehmen in den Feiertagen mit reduzierter Belegschaft arbeiten und der Handlungsspielraum für Gegenmaßnahmen deutlich eingeschränkt ist.
Verdächtige Vorgänge sofort an die IT-Abteilung melden
Um sich vor dieser verhältnismäßig neuen Angriffsmethode der Black Basta Gruppe zu schützen, ist es wichtig, dass IT-Führungskräfte und CISOs alle Mitarbeitenden anweisen, E-Mails kritisch zu hinterfragen. Mitarbeitende sollten vor allem die Absenderadressen eingehender E-Mails genau überprüfen und besonders skeptisch bei unbekannten oder ungewöhnlichen Adressen sein.
Links oder Anhänge in verdächtigen Nachrichten anzuklicken, ist ohnehin ein No-Go und kann schnell zu unvorhersehbaren Schäden führen. Zudem ist es ratsam, Kommunikationskanäle wie Microsoft Teams genau zu überprüfen. Externe oder nicht verifizierte Benutzer in Teams-Chats, die sich als IT-Mitarbeitende ausgeben, sollten immer hinterfragt und ungewöhnliche Chat-Anfragen sofort an die IT-Abteilung gemeldet werden.
Ein weiterer wichtiger Aspekt: Keine Software ohne Rücksprache mit der IT-Abteilung installieren. Das gilt insbesondere für Fernwartungs-Tools, mit denen Dritten weitreichende Zugriffsrechte eingeräumt werden. Sensibilisierung und Schulung der Mitarbeitenden sind ebenfalls von großer Bedeutung. Regelmäßige Awareness-Schulungen helfen, über aktuelle Angriffsmethoden informiert zu bleiben und das Bewusstsein der Belegschaft für typische Signale zu schärfen.
Mit White-Listing die Angriffsfläche reduzieren
IT-Abteilungen können gezielte Maßnahmen ergreifen, um die Sicherheit vor dem Hintergrund der jüngsten Angriffswellen zu erhöhen. Ein gezieltes White-Listing in Microsoft Teams kann sicherstellen, dass nur vertrauenswürdige externe Benutzer oder Domänen mit dem Unternehmen interagieren. Externe Zugriffe sollten auf spezifische, geprüfte Domänen beschränkt und alle anderen blockiert werden.
Das Sperren der Anydesk-Domain im Proxy oder in der Firewall verhindert, dass die Software aus dem Unternehmensnetzwerk heruntergeladen oder genutzt wird. Dadurch wird es Angreifern erheblich erschwert, die Software als Angriffsvektor einzusetzen. Zudem kann das Deaktivieren von Datei-Downloads in Teams verhindern, dass Benutzer potenziell schädliche Dateien herunterladen, die von Angreifern über Teams-Chats verteilt werden. Das reduziert die Angriffsfläche und schützt vor der Installation von Schadsoftware. Nicht zuletzt gilt es sich zu vergegenwärtigen, dass es sich hierbei nur um eine Angriffsmethode der Gruppe handelt – für umfassende Sicherheit ist ein lückenloser Grundschutz entlang der gesamten Angriffsfläche wichtig. (jm)
Lesetipp: Diese Unternehmen hat’s schon erwischt
