Willkommen zur monatlichen Blogserie Threat Context Monthly, in der wir eine umfassende Zusammenfassung der wichtigsten Cybersecurity-Nachrichten und Bedrohungsinformationen von KrakenLabs, dem Cyber Threat Intelligence Team von Outpost24, bieten.

Threat-Actor des Monats: blackhunt – Ransomware-as-a-Service (RaaS)

„blackhunt“ steckt hinter der Werbung in Untergrundforen und auf Telegram-Kanälen für Ransomware-Varianten Wing und Black Hunt 2.0. Beide Varianten wurden mit einem geleakten LockBit-Ransomware-Builder erstellt.

  • Wing RaaS: Erstmals angeboten am 28. Januar 2024, verspricht Affiliates 70 % jeder Gebühr und Individualisierungsoptionen, wie die Dataiendungen der verschlüsselten Dateien oder die Ransomware-Notiz. Außerdem wird sowas wie ein Vermittler eingeführt, d.h. eine Person, die das Projekt weiterempfiehlt und 10 % jeder Zahlung erhält, die von dieser Person generiert wird.
  • Black Hunt 2.0. RaaS: Die Ransomware Black Hunt wurde erstmals im November 2022 beobachtet, und Mitte 2023 erschien eine neue Version mit der Bezeichnung Black Hunt 2.0. Doch erst im März 2024 begann Black Hunt, im Untergrundforum RAMP für die RaaS zu werben, und zwar als ein Projekt, das nur darauf ausgerichtet ist, große Ziele für hohe Summen zu kompromittieren.

Bislang ist unklar, warum die Gruppe so lange gebraucht hat, um das Blackhunt-Projekt aktiv zu bewerben. Analysten von Outpost24 KrakenLabs glauben, dass die Verzögerung mit den Bemühungen der Gruppe zusammenhängen könnte, die Aufmerksamkeit von ehemaligen Mitgliedern der „LockBit Group“ nach deren Beschlagnahmung zu gewinnen. Diese Hypothese wird nicht nur durch den Zeitpunkt und die beabsichtigte Vorgehensweise von Big Game Hunting gestützt, sondern auch durch eine Notiz, in der der Nutzer die Vorteile gegenüber anderen RaaS im Falle eines Hacks hervorhebt.

Nachricht von blackhunt in der Black Hunt 2.0. RaaS-Veröffentlichung, die ihre Vorteile gegenüber anderen RaaS im Falle eines Hacks hervorhebt. Quelle: RAMP

Outpost24 KrakenLabs-Analysten gehen davon aus, dass blackhunt auch den Spitznamen „b0rn_villain“ in Telegram verwendet hat. Mit dieser Identität wäre der Nutzer wahrscheinlich für einen Kanal namens „bl4nk_room“ verantwortlich, der 2017 erstellt wurde und in dem Informationen zum Thema Hacking sowohl in englischer als auch in arabischer Sprache geteilt werden.

Gefahr im Fokus: Operation Cronos – Strafverfolgungsbehörden stören LockBit RaaS

Ende Februar hat die Operation Cronos, eine globale Task Force der Strafverfolgungsbehörden von zehn Ländern und Europol, die zentrale Infrastruktur von LockBit zerschlagen und über 200 Krypto-Wallets beschlagnahmt. Diese Operation kompromittierte LockBits Primärplattform, schaltete weltweit 34 Server aus und führte zur Wiederbeschaffung von über 1.000 Entschlüsselungskeys, was zur Entwicklung eines kostenlosen Entschlüsselungstools führte, das auf dem Portal „No More Ransom“ verfügbar ist. Darüber hinaus konnten die Behörden „eine große Menge an Informationen über die Aktivitäten und Personen, die mit der Gruppe gearbeitet haben sicherstellen“. In diesem Zusammenhang teilten die Behörden Screenshots und interne Dokumente auf dem Blog der Gruppe, einschließlich Informationen über Partner und Screenshots von LockBits Administrationsbereich. Auf physischer Ebene wurden zwei Personen in Polen und der Ukraine verhaftet, und die USA haben Anklage gegen zwei weitere russische Staatsangehörige erhoben.

Publikation der Behörden zur Identität von LockbitSupp. Quelle: Beschlagnahmte DLS von Lockbit – nicht mehr verfügbar.

Nach der Beschlagnahmung meldete sich LockBit Group am 24. Februar mit einem neuen DLS zurück und begann mit der Veröffentlichung von Informationen über Opfer, die bereits auf ihrem vorherigen DLS veröffentlicht worden waren. Darüber hinaus veröffentlichten sie auch eine direkte Nachricht an die Behörden. Einige Aussagen, die die Analysten von Outpost24 KrakenLabs aus dem Manifest der Gruppe extrahieren, lauten wie folgt:

  • Die LockBit Group hat nicht die Absicht, ihre Aktivitäten einzustellen.
  • Der Server des Opfers mit den Admin- und Chat-Panels sowie der Blog-Server liefen mit PHP 8.1.2 und wurden wahrscheinlich über eine kritische Sicherheitslücke gehackt, die als CVE-2023-3824 geführt wird.
  • Nach eigenen Angaben wurde die Beschlagnahmung durchgeführt, um die Veröffentlichung sensibler Informationen zu verhindern, die die bevorstehenden US-Wahlen beeinflussen könnten.
  • Die Behörden haben nicht alle Entschlüsselungsprogramme beschlagnahmt, sondern nur ein paar, die zeitweise ungeschützt waren.
  • Bei den beiden Verhafteten handelt es sich wahrscheinlich um Geldwäscher, nicht um Pentester oder deren Partner.
  • Bestreitet eine Verbindung zu „EvilCorp“; nach Angaben von LockBit haben sie nur zufällig denselben Mixing-Service für Kryptowährungen genutzt.

Als Zusatz zur Operation Cronos hat das US Department of State eine Belohnung in Höhe von 15 Millionen US-Dollar für Informationen über die Anführer von LockBit und deren Komplizen ausgesetzt. Die Vertreter von LockBit kündigten an, das Kopfgeld zu verdoppeln, wenn jemand sie entlarven kann. Wir sehen, dass die Gruppe um ihren Ruf und ihr Überleben kämpft und versucht, die Behörden zu verhöhnen, ihre Enthüllungen zu dementieren und ihre Leistungen kleinzureden.

KrakenLabs Highlights

Neue Gefahren

Künstliche Intelligenz: Fünf staatliche Gruppierungen aus China, Iran, Nordkorea und Russland wurden entdeckt, die Large-Language-Models (LLMs) für Aufgaben wie das Auslesen von Satellitenkommunikationsprotokollen und Programmierhilfen verwenden. Ihre mit OpenAI verknüpften Tätigkeiten wurden unterbunden, was die zunehmende Kontrolle durch Dienstleister belegt.
Erfahren Sie mehr →

Künstliche Intelligenz: Forscher haben festgestellt, dass die Zahl der zum Verkauf angebotenen ChatGPT-Zugangsdaten, die von infizierten Geräten gestohlen wurden, gestiegen ist. Die drei größten Stealer mit den meisten kompromittierten Hosts mit ChatGPT-Zugängen zwischen Juni und Oktober 2023 waren LummaC2, Raccoon und RedLine.
Erfahren Sie mehr →

Schwachstellen

Nach der Offenlegung zweier Schwachstellen in der ConnectWise ScreenConnect-Software (CVE-2024-1708 / 1709) am 19. Februar 2024 wurden verschiedene Ransomware-Gruppen wie „Black Basta“, „Bl00dy Group“ und „ALPHV/Blackcat“ beobachtet, die diese Schwachstellen ausnutzen, um unbefugten Zugriff auf und Kontrolle über betroffene Systeme zu erlangen. Einige Tage nach der Ergreifung der LockBit Group wurde die Ransomware LockBit 3.0. (deren Entwickler 2022 bekannt wurde) ebenfalls unter Verwendung dieser Schwachstellen in Angriffen verbreitet, die nicht auf die kürzlich ergriffene Gruppe zurückgeführt werden können.
Mehr erfahren → / mehr → / und mehr →

Ransomware

Exit-Scam: Die RaaS-Betreiber von „ALPHV/BlackCat“ haben beschlossen, ihren Betrieb einzustellen, und ein gefälschtes Bild auf ihrem DLS veröffentlicht, in dem sie behaupten, von den Behörden festgenommen worden zu sein, um ihren „Exit-Scam“ zu tarnen. Nach Angaben eines angeblichen Mitglieds der Gruppe, das sich „notchy“ nennt, hat die Gruppe diese Entscheidung getroffen, nachdem sie eine Zahlung von 22 Millionen US-Dollar von dem US-Unternehmen Optum erhalten hatte.
Mehr erfahren → / und mehr →

Neue Geschäftsmodelle: Ransomware-Gruppen wenden eine neue Monetarisierungstaktik an, indem sie direkten Netzwerkzugang verkaufen. Diese Tätigkeit wird traditionell mit Initial Access Brokers (IABs) in Verbindung gebracht. Diese Verkäufe erfolgen über DLS- oder Telegram-Kanäle, wobei die LockBit Group, „Stormous“ und „Everest“ nennenswerte Opfer verzeichnen.
Erfahren Sie mehr →

Anzahl der Opfer, die in den letzten 30 Tagen von Ransomware-Gruppen auf Data Leak Sites aufgeführt wurden.

Updates zum Threat Context-Modul in diesem Monat:

Threat-Actors: blackhunt, darksenator, Inc. Ransom, NakedPages, Passion Team, RansomHub, raya, ResumeLooters, UNC4990, UNC5325, UNC3886, SoIntsepek, Ares Leaks, R00TK1T ISC, usw.

Tools: Atlantida, CoatHanger, DSLog, FBot, Inc. Ransomware, Mario, MrAgent, NakedPages, bfBot, Fauppod, Symbiote, usw.

und vieles mehr!

Erfahren Sie mehr über Treat Compass von Outpost24

Threat Compass ist die modulare Cyber Threat Intelligence-Lösung von Outpost24, die darauf ausgelegt ist, externe Bedrohungen für Ihr Unternehmen zu erfassen und Ihnen die nötigen Informationen zur Abwehr zur Verfügung zu stellen. Jedes Threat Compass-Modul wird von unserem erstklassigen internen Analystenteam, den KrakenLabs, unterstützt. Die Lösung hilft Unternehmen, gezielte Bedrohungen zu erkennen und die Reaktionszeit auf Vorfälle zu verkürzen.