{"id":1636,"date":"2025-01-24T04:00:00","date_gmt":"2025-01-24T04:00:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1636"},"modified":"2025-01-24T04:00:00","modified_gmt":"2025-01-24T04:00:00","slug":"pravention-gegen-black-basta","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1636","title":{"rendered":"Pr\u00e4vention gegen Black Basta"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Ein l\u00fcckenloser Grundschutz ist im Kampf gegen Ransomware die halbe Miete.\n

ImageFlow \u2013 Shutterstock.com<\/p>\n<\/div>\n

Seit ihrem ersten Auftreten im Jahr 2022 m\u00fcssen sich immer mehr Unternehmen mit den aggressiven Angriffsmethoden der Black-Basta-Gruppe auseinandersetzen. Ihre Angriffe zielen auf s\u00e4mtliche Branchen ab und sind auf hochentwickelten Verschl\u00fcsselungstechniken aufgebaut, die nur einem Ziel dienen: Daten zu sperren und L\u00f6segeldforderungen zu stellen.<\/p>\n

Die Attacken folgen dabei oft dem Prinzip der doppelten Erpressung (\u201eDouble Extortion\u201c): Neben der Verschl\u00fcsselung der Daten drohen die Angreifenden mit der Ver\u00f6ffentlichung sensibler Informationen, um zus\u00e4tzlichen Druck auf die Opfer auszu\u00fcben.<\/p>\n

Angriffsmethoden<\/strong><\/h2>\n

Die Gruppe verschickt gro\u00df angelegte Spam-Kampagnen, um Mitarbeitende zu t\u00e4uschen und Zugang zu Netzwerken zu erhalten. Dabei setzen die Akteure vor allem auf die Methode, sich als IT-Helpdesk-Mitarbeitende auszugeben<\/a> und so das Vertrauen der Mitarbeitenden zu gewinnen. In den Chats fordern sie die Installation von Fernzugriffssoftware wie unter anderem Anydesk,<\/a> um direkten Zugriff auf die Systeme zu erhalten.<\/p>\n

Vor allem zum Jahresende 2024 gab es eine Reihe von Angriffen, die im Zusammenhang mit Black Basta<\/a> standen und darauf abzielten, zwischen den Jahren Geld zu erpressen. Dabei handelt es sich um ein besonders sensibles Zeitfenster, da viele Unternehmen in den Feiertagen mit reduzierter Belegschaft arbeiten und der Handlungsspielraum f\u00fcr Gegenma\u00dfnahmen deutlich eingeschr\u00e4nkt ist.<\/p>\n

Verd\u00e4chtige Vorg\u00e4nge sofort an die IT-Abteilung melden<\/strong><\/h2>\n

Um sich vor dieser verh\u00e4ltnism\u00e4\u00dfig neuen Angriffsmethode der Black Basta Gruppe zu sch\u00fctzen, ist es wichtig, dass IT-F\u00fchrungskr\u00e4fte und CISOs alle Mitarbeitenden anweisen, E-Mails kritisch zu hinterfragen. Mitarbeitende sollten vor allem die Absenderadressen eingehender E-Mails genau \u00fcberpr\u00fcfen und besonders skeptisch bei unbekannten oder ungew\u00f6hnlichen Adressen sein.<\/p>\n

Links oder Anh\u00e4nge in verd\u00e4chtigen Nachrichten anzuklicken, ist ohnehin ein No-Go und kann schnell zu unvorhersehbaren Sch\u00e4den f\u00fchren. Zudem ist es ratsam, Kommunikationskan\u00e4le wie Microsoft Teams genau zu \u00fcberpr\u00fcfen. Externe oder nicht verifizierte Benutzer in Teams-Chats, die sich als IT-Mitarbeitende ausgeben, sollten immer hinterfragt und ungew\u00f6hnliche Chat-Anfragen sofort an die IT-Abteilung gemeldet werden.<\/p>\n

Ein weiterer wichtiger Aspekt: Keine Software ohne R\u00fccksprache mit der IT-Abteilung installieren. Das gilt insbesondere f\u00fcr Fernwartungs-Tools, mit denen Dritten weitreichende Zugriffsrechte einger\u00e4umt werden. Sensibilisierung und Schulung der Mitarbeitenden sind ebenfalls von gro\u00dfer Bedeutung. Regelm\u00e4\u00dfige Awareness-Schulungen<\/a> helfen, \u00fcber aktuelle Angriffsmethoden informiert zu bleiben und das Bewusstsein der Belegschaft f\u00fcr typische Signale zu sch\u00e4rfen.<\/p>\n

Mit White-Listing die Angriffsfl\u00e4che reduzieren<\/strong><\/h2>\n

IT-Abteilungen k\u00f6nnen gezielte Ma\u00dfnahmen ergreifen, um die Sicherheit vor dem Hintergrund der j\u00fcngsten Angriffswellen zu erh\u00f6hen. Ein gezieltes White-Listing in Microsoft Teams kann sicherstellen, dass nur vertrauensw\u00fcrdige externe Benutzer oder Dom\u00e4nen mit dem Unternehmen interagieren. Externe Zugriffe sollten auf spezifische, gepr\u00fcfte Dom\u00e4nen beschr\u00e4nkt und alle anderen blockiert werden.<\/p>\n

Das Sperren der Anydesk-Domain im Proxy oder in der Firewall verhindert, dass die Software aus dem Unternehmensnetzwerk heruntergeladen oder genutzt wird. Dadurch wird es Angreifern erheblich erschwert, die Software als Angriffsvektor einzusetzen. Zudem kann das Deaktivieren von Datei-Downloads in Teams verhindern, dass Benutzer potenziell sch\u00e4dliche Dateien herunterladen, die von Angreifern \u00fcber Teams-Chats verteilt werden. Das reduziert die Angriffsfl\u00e4che und sch\u00fctzt vor der Installation von Schadsoftware. Nicht zuletzt gilt es sich zu vergegenw\u00e4rtigen, dass es sich hierbei nur um eine Angriffsmethode der Gruppe handelt \u2013 f\u00fcr umfassende Sicherheit ist ein l\u00fcckenloser Grundschutz entlang der gesamten Angriffsfl\u00e4che wichtig. (jm)<\/p>\n

Lesetipp: Diese Unternehmen hat\u2019s schon erwischt<\/a><\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Ein l\u00fcckenloser Grundschutz ist im Kampf gegen Ransomware die halbe Miete. ImageFlow \u2013 Shutterstock.com Seit ihrem ersten Auftreten im Jahr 2022 m\u00fcssen sich immer mehr Unternehmen mit den aggressiven Angriffsmethoden der Black-Basta-Gruppe auseinandersetzen. Ihre Angriffe zielen auf s\u00e4mtliche Branchen ab und sind auf hochentwickelten Verschl\u00fcsselungstechniken aufgebaut, die nur einem Ziel dienen: Daten zu sperren und […]<\/p>\n","protected":false},"author":0,"featured_media":1637,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1636","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1636"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1636"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1636\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1637"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1636"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1636"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1636"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}