Bemerkenswert ist zudem, dass sich unter den Mitgliedern von Black Basta offenbar ein 17-jähriger Minderjähriger befindet. Außerdem hat die Gruppe den geleakten Chats zufolge ihre Angriffsstrategien weiterentwickelt und nutzt nun vermehrt Social-Engineering-Techniken. Diese Methode hat sich bereits bei der Hackergruppe Scattered Spider als erfolgreich erwiesen.
Schnelle Übernahme durch bekannte Schwachstellen
Zusätzlich nutzt Black Basta bekannte Schwachstellen, Fehlkonfigurationen und unzureichende Sicherheitskontrollen aus, so die Forscher des Technologieunternehmens Qualys. Mithilfe dieser verschaffen sie sich Zugang zu den Zielnetzwerken. Die veröffentlichten Nachrichten zeigen, dass
- SMB-Fehlkonfigurationen,
- ungeschützte RDP-Server und
- schwache Authentifizierungsmechanismen
routinemäßig ausgenutzt werden. Ein weiterer wichtiger Angriffsvektor ist der Einsatz von Malware-Droppern zur Übermittlung des Schadcodes. Um unentdeckt zu bleiben, nutzen die Cyberkriminellen legitime Dateifreigabeplattformen wie switch.sh, temp.sh und ship.vis.ee, um die Nutzerdaten zu hosten. Sobald die Kriminellen Zugriff auf das Netzwerk eines Unternehmens haben, verlieren sie laut Experten Qualys Menace Analysis Unit keine Zeit. Vom anfänglichen Angriff bis zur netzwerkweiten Kompromittierung vergehen meist nur wenige Stunden, manchmal infiltrieren die Hacker die Systeme ihrer Opfer sogar binnen weniger Minuten.
