Bekannte Angriffsmethoden

Ehemalige Black Basta-Mitglieder nutzen Microsoft Teams und Python-Skripte

Hacker
LinkedInRedditWhatsAppPocket

Ehemalige Akteure, die zuvor der Ransomware-Gruppe Black Basta zugerechnet wurden, führen ihre Aktivitäten mit bereits bekannten Methoden fort – darunter E-Mail-Bombardements und Phishing über Microsoft Teams.

Sicherheitsforscher von ReliaQuest stellten jedoch fest, dass Angreifer diese Techniken zunehmend mit Python-Skripten kombinieren, um Schadsoftware gezielt über cURL-Anfragen nachzuladen und auszuführen.

Anzeige

Diese Weiterentwicklung deutet darauf hin, dass sich die Gruppenmitglieder trotz interner Rückschläge – etwa der Veröffentlichung interner Chatprotokolle Anfang 2025 – neu orientieren und taktisch anpassen.

Teams-Phishing: Immer raffinierter

Zwischen Februar und Mai 2025 wurden laut ReliaQuest rund die Hälfte aller beobachteten Phishing-Angriffe über Microsoft Teams von Adressen aus der onmicrosoft[.]com-Domain versendet. Besonders heimtückisch: 42 % der Angriffe gingen von kompromittierten Domains aus, was eine glaubhafte Nachahmung legitimen Datenverkehrs erlaubt.

In aktuellen Fällen aus dem Finanz-, Versicherungs- und Bausektor gaben sich Angreifer als IT-Supportmitarbeiter aus und nutzten Teams, um Zielpersonen zur Preisgabe von Zugangsdaten zu verleiten.

Anzeige

Taktikwechsel nach Gruppenaufspaltung

Trotz des Verschwindens der offiziellen Black Basta-Datenleck-Plattform bleibt die Vorgehensweise aktiv. ReliaQuest geht davon aus, dass ehemalige Mitglieder zu anderen Ransomware-as-a-Service (RaaS)-Gruppen übergelaufen sind – etwa zu CACTUS oder BlackLock. Die geleakten Chats enthalten Hinweise auf Zahlungen zwischen früheren Black Basta-Akteuren und CACTUS in Höhe von mehreren Hunderttausend US-Dollar. Allerdings ist CACTUS seit März 2025 öffentlich inaktiv, was auf eine taktische Rückzugsphase oder eine Auflösung hindeuten könnte.

Angreifer nutzen den Zugriff über Teams-Phishing, um anschließend Remote-Desktop-Verbindungen über Tools wie Quick Assist oder AnyDesk herzustellen. Darüber wird ein Python-Skript von einem entfernten Server heruntergeladen und ausgeführt, um Command-and-Control-Kommunikation (C2) einzurichten.

Die Verwendung von Python deutet laut ReliaQuest auf eine wachsende Bedeutung solcher Skripte in zukünftigen Angriffswellen hin – insbesondere im Kontext von Microsoft Teams.

Auch BlackSuit, eine weitere aktive Ransomware-Gruppe, greift mittlerweile auf die ursprünglichen Social-Engineering-Taktiken von Black Basta zurück – inklusive Spam, Teams-Phishing und Quick Assist. Möglicherweise wurden frühere Black Basta-Mitglieder direkt aufgenommen oder die Methoden einfach übernommen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

RAT-Malware im Fokus: Neue Generation aus alten Mustern

Laut Erkenntnissen von Rapid7 wird der erste Zugriff oft genutzt, um eine neue Variante einer Java-basierten Fernzugriffssoftware (RAT) zu installieren. Diese Software diente zuvor in Black Basta-Kampagnen als Credential Harvester und hat sich technisch weiterentwickelt: Sie nutzt jetzt Cloud-Dienste wie Google Drive oder OneDrive, um Befehle über die Server der Anbieter zu schleusen. Neuere Versionen können Dateien übertragen, Browserdaten stehlen, Fake-Logins anzeigen und Java-Klassen direkt im Arbeitsspeicher ausführen.

Weitere Entwicklungen in der Ransomware-Landschaft

Scattered Spider: Angriff über Drittanbieter

Die Gruppe Scattered Spider attackiert gezielt Managed Service Provider (MSPs) und IT-Dienstleister, um mit einem Angriff mehrere Organisationen zu treffen. Dabei werden unter anderem gestohlene Zugangsdaten von Tata Consultancy Services (TCS) verwendet und Phishing-Seiten mit Evilginx eingesetzt, um Multi-Faktor-Authentifizierungen zu umgehen.

Weitere Akteure und Aktivitäten

  • Qilin (auch bekannt als Agenda/Phantom Mantis) nutzt bekannte Fortinet-Schwachstellen für Einbrüche seit Mai 2025.
  • Die Gruppe Play (alias PlayCrypt) hat bis Mai 2025 rund 900 Ziele kompromittiert, oft unter Ausnutzung von SimpleHelp-Sicherheitslücken.
  • VanHelsing, ein weiterer Akteur, hat nach internen Streitigkeiten den gesamten Quellcode seiner Ransomware öffentlich gemacht.
  • Interlock setzt eine neue JavaScript-basierte RAT namens NodeSnake ein, um Behörden und Bildungseinrichtungen in Großbritannien zu infiltrieren.

Wie das Cybersicherheitsunternehmen Quorum Cyber feststellt, ermöglichen RATs den Angreifern vollständigen Fernzugriff auf infizierte Systeme – einschließlich Datenzugriff, Systemveränderungen und der Einschleusung zusätzlicher Schadsoftware.

Die Aktivitäten ehemaliger Mitglieder von Black Basta und deren mutmaßlicher Übergang zu neuen Gruppen zeigen, wie anpassungsfähig und widerstandsfähig das Ransomware-Ökosystem ist. Während bekannte Taktiken wie Phishing und RATs fortbestehen, wird ihr Einsatz durch moderne Cloud-Dienste und neue technische Komponenten stetig weiterentwickelt – eine anhaltende Herausforderung für IT-Sicherheitsverantwortliche weltweit.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Chats geleakt: Ransomware-Gruppe Black Basta bröckelt

Weitere Artikel

T-Mobile: 64 Mio. Datensätze angeblich geleakt
Defizite im Kampf gegen Cybermobbing
Datenschutz: So viele Beschwerden wie noch nie
Wenn Hacker andere Hacker hacken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.