{"id":3264,"date":"2025-05-21T13:07:17","date_gmt":"2025-05-21T13:07:17","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3264"},"modified":"2025-05-21T13:07:17","modified_gmt":"2025-05-21T13:07:17","slug":"ransomware-bande-blackbasta-hat-neuen-malware-favoriten","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3264","title":{"rendered":"Ransomware-Bande BlackBasta hat neuen Malware-Favoriten"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n

Die BlackBasta<\/a>-Bande scheint ihr Repertoire um eine neue, modulare Malware erweitert zu haben. In einem LinkedIn-Post<\/a> gaben Forscher des Cybersicherheitsunternehmens Prodaft an, dass die ber\u00fcchtigte Gruppe die Schadsoftware Skitnet in Phishing-Angriffen auf Microsoft Teams eingesetzt hat.<\/p>\n

Die Experten ver\u00f6ffentlichten<\/a> Indikatoren f\u00fcr die Kompromittierung (Indicators of Compromise, IoC). Diese Liste gibt Sicherheitsteams Informationen \u00fcber C2-Servern, TOX-Adressen und Datei-Hashes an die Hand, die bei den beobachteten Angriffen verwendet wurden.<\/p>\n

Wichtige Payload-Komponenten<\/strong><\/h2>\n

Skitnet wurde von den Cyberkriminellen der Gruppe LARVA-306 entwickelt und steht seit April 2024 in Untergrundforen wie RAMP zum verkauf. Die Schadsoftware \u201enutzt mehrere Programmiersprachen und Tarntechniken, um ihre Nutzlast auszuf\u00fchren und dauerhaften Zugriff auf infizierte Systeme zu erhalten\u201d, so Prodaft in einem Bericht<\/a>.<\/p>\n

Die Malware ist so aufgebaut, dass sie aus verschiedenen Bausteinen besteht. Ein zentrales Programm, der sogenannte Core Loader, wird zuerst mithilfe eines einfachen PowerShell-Skripts entschl\u00fcsselt und gestartet. Je nachdem, was der Angreifer erreichen m\u00f6chte, l\u00e4dt dieser Core Loader dann automatisch verschiedene Zusatzmodule (Plug-ins) herunter und f\u00fchrt sie aus.<\/p>\n

Diese Module werden \u00fcber sichere HTTP-Anfragen von speziellen Steuerungsservern (Command-and-Control-Servern) abgerufen. Dabei sind die Daten verschl\u00fcsselt, um unentdeckt zu bleiben. Zu den wichtigen Modulen geh\u00f6rt beispielsweise die Datei \u201eskitnel.dll\u201c, die Programme direkt im Arbeitsspeicher ausf\u00fchrt. Ein weiterer wichtiger Mechanismus sorgt daf\u00fcr, dass die Malware dauerhaft auf dem infizierten System aktiv bleibt.<\/p>\n

Modularit\u00e4t f\u00fcr verschiedene Zwecke<\/strong><\/h2>\n

Die Malware Skitnet verf\u00fcgt \u00fcber separate Plug-ins um<\/p>\n

Anmeldeinformationen zu sammeln,<\/p>\n

Berechtigungen auszuweiten,<\/p>\n

sich im Netzwerk lateral zu bewegen und<\/p>\n

Ransomware bereitzustellen.<\/p>\n

Sie nutzt die Programmiersprachen Rust und Nim, um eine verdeckte Reverse Shell \u00fcber das DNS-Protokoll zu realisieren. Dadurch ist eine unauff\u00e4llige C2-Kommunikation m\u00f6glich.<\/p>\n

Zus\u00e4tzlich verwendet Skitnet Verschl\u00fcsselung, manuelles Mapping und dynamische API-Aufl\u00f6sung, um nicht entdeckt zu werden. Ist ein System infiziert, l\u00f6scht der Server automatisch<\/p>\n

SSH-Verbindungsprotokolle,<\/p>\n

IP-Adressen,<\/p>\n

Befehlsverl\u00e4ufe und<\/p>\n

den Cache.<\/p>\n

Persistent und unauff\u00e4llig<\/strong><\/h2>\n

Ziel ist es, keine Spuren f\u00fcr forensische Untersuchungen zu hinterlassen. Zugleich ist die Malware dazu in der Lage, Remote-Desktop-Tools wie AnyDesk oder RUT unauff\u00e4llig zu installieren und zu starten.<\/p>\n

Zus\u00e4tzlich verf\u00fcgt Skitnet \u00fcber Befehle, um Daten zu exfiltrieren und Sicherheitsprodukte aufzuz\u00e4hlen. Dank Persistenzmechanismen wie DLL-Hijacking und PowerShell-basierte Ausf\u00fchrung, kann die Schadsoftware dauerhaft auf kompromittierten Systemen aktiv bleiben.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Die BlackBasta-Bande scheint ihr Repertoire um eine neue, modulare Malware erweitert zu haben. In einem LinkedIn-Post gaben Forscher des Cybersicherheitsunternehmens Prodaft an, dass die ber\u00fcchtigte Gruppe die Schadsoftware Skitnet in Phishing-Angriffen auf Microsoft Teams eingesetzt hat. Die Experten ver\u00f6ffentlichten Indikatoren f\u00fcr die Kompromittierung (Indicators of Compromise, IoC). Diese Liste gibt Sicherheitsteams Informationen \u00fcber C2-Servern, TOX-Adressen […]<\/p>\n","protected":false},"author":0,"featured_media":3265,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3264","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3264"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3264"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3264\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3265"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3264"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3264"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3264"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}