Ransomware-Gruppe ALPHV (Blackcat) mit neuen Erpressungstechniken (durchsuchbar Datenbank)

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Ransomware-Gruppe ALPHV (auch bekannt als Blackcat) scheint neue Wege bei den Erpressungstechniken zu gehen. In der Vergangenheit wurde Opfern bereits mit der Veröffentlichung erbeuteter Daten gedroht, um diese zur Zahlung eines Lösegelds zu bewegen. Nun hat die ALPHV Ransomware-Gruppe wohl eine durchsuchbare Datenbank aufgesetzt, in der nach Daten von Opfern gesucht werden kann. Das birgt die Gefahr, dass Daten aus diesen Dokumenten für weiteren Missbrauch (Lieferkettenangriffe, Identitätsdiebstahl, Phishing) missbraucht werden.


Anzeige

Sicherheitsanbieter Cyble schreibt, dass man in der Vergangenheit bereits einige Bedrohungsgruppen beobachtet habe, die durchsuchbare Datenbanken zur Erpressung ihrer Opfer eingesetzt haben. Die Datenerpressergruppe Karakurt verwendet diese Erpressungstechnik.

Searchable Database created by Karakurt Data Extortion Group
Durchsuchbare Datenbank, erstellt von der Datenerpressergruppe Karakurt, Quelle: Cyble

Genau diesen Weg geht jetzt auch die ALPHV-Ransomware-Gruppe, die ein Tool namens "ALPHV Collections" für die Suche nach Schlüsselwörtern in geleakten Datenbanken entwickelt hat. Die Ankündigung erfolgte die Tage, wie folgender Screenshot besagt.

ALPHV Announcement
ALPHV-Ankündigung, Quelle: Cyble

Am 14. Juni 2022 wurden auf der betreffenden Leak-Seite sensible Details über eines ihrer Opfer eingestellt. Neben der üblichen Vorgehensweise, die gestohlenen Daten auf Tor-Websites hochzuladen, erstellte die Gruppe auch eine Website namens victim_name.xyz, auf der die Sozialversicherungsnummer (SSN), das Geburtsdatum und die E-Mail-Adresse des Mitarbeiters der Opferorganisation gesucht werden können. Den Sicherheitsforschern ist bisher aber nur ein einziges Opfer bekannt, bei dem diese Erpressungstechnik angewandt wurde.

Risiko von Lieferkettenangriffen

Die Sicherheitsforscher haben in der Vergangenheit mehrere Vorfälle beobachtet, bei denen Thread-Aktoren (TAs) durchgesickerte Anmeldedaten für Angriffe auf die Lieferkette genutzt haben. In ähnlicher Weise kann ALPHV Collections von anderen Tätern genutzt werden, um ihre zukünftigen Opfer auszuspionieren. Derzeit enthält die Datenbank noch nicht viele Datensätze, aber das dürfte sich in Zukunft ändern.

Finden sich Anmeldedaten in geleakten Dokumenten, können Thread-Aktoren leicht auf diese Anmeldedaten von Benutzern zugreifen und diese nutzen, um Angriffe auf die Kunden der Opferorganisationen auszuführen. Details lassen sich in diesem Blog-Beitrag von Cyble nachlesen. Dort finden sich auch Hinweise, was unternehmen tun können.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Ransomware-Gruppe ALPHV (Blackcat) mit neuen Erpressungstechniken (durchsuchbar Datenbank)

  1. mw sagt:

    Die Hinweise sind das übliche Blabla und jedem IT Security Sachverständigen geläufig. Was Unternehmen wirklich tun können, ist ganz schnell die ranzige Windows/AD/Exchange Infrastruktur zu verschrotten und endlich brauchbare Software einzusetzen und gutes Geld für gute Adminstratoren auszugeben. Beides wird mMn nicht geschehen und damit wird Ransomware zum emerging bussiness und zum Dauerbrenner. Mein Mitleid für die Betroffenen hält sich in Grenzen.

    • Bernd sagt:

      MW: was wäre denn brauchbare Software OHNE 0-Day Lücken etc.?
      Ich bin gespannt! Also Alternativen zu Autodesk, Adobe, Ex, AD und zig-tausend andere Anwendungen die es nur für WIN gibt? Kommen Sie mir nicht mit Linux….

      • Luzifer sagt:

        gibt es nicht! Auch Linux ist da nicht besser! Linux hat lediglich den Vorteil kein Schwein interessiert sich dafür ;-P

        Es lohnt einfach nicht Linux zu attakieren. Was soll man sich mit 10 Opfern abmühen wenn ich Tausende haben kann.

        • Bernd sagt:

          Luzifer: Stimmt nicht ganz. Linuxbasierende Systeme wie z.B. ESXi Server und Firewalls sind für diese "Menschen" ein sehr lukratives Ziel.

        • Andy sagt:

          Der Großteil der Serverinfrastruktur, die manche "Internet" nennen, sind Linux-Server.
          Laut einiger Marktstudien hat Linux auf Servern schon 2020 Windows überholt.
          Und Server sind doch die Ziele.
          Ergibt also nicht so viel Sinn, was Du schreibst.
          Das Problem ist vermutlich wirklich eher, dass Windows-Server-Inhalte leichter zu haben sind.

          Bezeichnenderweise sichern wir unsere Windows-Enklaven ja auch hauptsächlich mit linuxbasierten Appliances ab, wenn wir einigermaßen sichere Umgebungen für unser Windows bauen wollen…

      • mw sagt:

        Das mit Anwendungen stimmt zwar, aber ist das ein Grund auf ein vom design her unsicheres System zu gehen?

        Schaut man sich die Infektionswege für Ransomware an, dann sind es eben die ranzigen Microsoft Produkte AD, Office und Exchange.

        Wer allerdings behauptet diese Produkte wären alternativlos, ist in dieser Hinsicht intellektuell unbewaffnet.

  2. Thierry sagt:

    @Luzifer: Dar teile ich deiner Meinung nicht hundertprozentig mit, denn Linux wird sehr viel im Routing, physikalische Firewalls, Serverumgebungen usw. eingesetzt. Also, es handelt sich um weit mehr als nur zehn potenziellen Opfer. Ich denke, dass es keine wesentliche Rolle spielt, um welche Anwendungen es sich handelt. Sobald eine profitable Schwäche gefunden wird, wird diese ausgenutzt.

Schreibe einen Kommentar zu mw Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.