{"id":5820,"date":"2023-01-11T07:31:43","date_gmt":"2023-01-11T07:31:43","guid":{"rendered":"https:\/\/www.forenova.com\/blog\/what-is-blackcat-ransomware-alphv\/"},"modified":"2024-12-13T12:13:40","modified_gmt":"2024-12-13T12:13:40","slug":"what-is-blackcat-ransomware-alphv","status":"publish","type":"post","link":"https:\/\/www.forenova.com\/de\/blog\/what-is-blackcat-ransomware-alphv\/","title":{"rendered":"Was ist BlackCat Ransomware (ALPHV)? \u2013 ForeNova"},"content":{"rendered":"\n

Ransomware-Angriffe richteten auch im Jahr 2022 in Unternehmen auf der ganzen Welt gro\u00dfen Schaden an. Der aktuelle IBM-Bericht Cost of a Data Breach<\/a> zeichnet ein besorgniserregendes Bild: Die durchschnittlichen Kosten eines Ransomware-Angriffs beliefen sich auf 4,54 Mio. USD, und es dauerte 49 Tage l\u00e4nger als im Vorjahr, ihn zu identifizieren und einzud\u00e4mmen. Nach den ber\u00fcchtigten Ransomware-Gruppen DarkSide und REvil, die f\u00fcr die verheerenden Angriffe auf die Colonial Pipeline bzw. Kaseya im Jahr 2021 verantwortlich waren, hat eine neue Ransomware-Gruppe im vergangenen Jahr einen enormen Aufschwung erlebt – BlackCat.<\/span><\/p>\n\n\n\n\n\n\n\n

BlackCat wurde erstmals im November 2021 von Forschern des Malware HunterTeams<\/a> entdeckt. Die Ransomware Gruppe BlackCat, auch als AlphaVM, AlphaV, oder ALPHV bekannt, nutzen das beliebte Ransomware-as-a-Service (RaaS) Modell. BlackCat ist in diesem Modell der Ransomware-Betreiber, der den Partnern sein Ransomware-Kit zur Verf\u00fcgung stellt, um ihre Angriffe durchzuf\u00fchren. Das bedeutet, dass BlackCat Angriffe von Partner zu Partner unterschiedlich sind, insbesondere was den Einstieg betrifft.<\/span><\/p>\n\n\n\n

\"Shape<\/figure>\n\n\n\n

<\/span><\/p>\n\n\n\n

(Quelle: MalwareHunterTeam)<\/span><\/p>\n\n\n\n

Ransomware Angriffe der Gruppe BlackCat sind durch ihre unkonventionelle Programmierung und durch ihr Gesch\u00e4ftsmodell besonders erfolgreich.  Zudem entwickelten sie die erste gro\u00dfe professionelle Ransomware, die in der Programmiersprache Rust geschrieben wurde und wesentlich h\u00f6here Auszahlungen an seine Partner leistet. Au\u00dferdem werden Informationen \u00fcber die Opfer im \u00f6ffentlichen Internet statt wie bisher \u00fcblich nur im Dark Web ver\u00f6ffentlicht. <\/span><\/p>\n\n\n\n

Die Geschichte von BlackCat Ransomware und \u00f6ffentlich bekannt gewordene Angriffe<\/span><\/strong><\/h2>\n\n\n\n

BlackCat Ransomware wurde erstmals im November 2021 von Forschern des MalwareHunter Teams entdeckt. Am 19. April 2022 ver\u00f6ffentlichte die Cyberabteilung des Federal Bureau of Investigation (FBI) Cyber Division schlie\u00dflich <\/span>einen Bericht<\/a> mit detaillierten Angaben zu den BlackCat-Kompromittierungsindikatoren (IOCs). \u00a0Der Bericht stellt fest, dass „viele Entwickler und Geldw\u00e4scher von BlackCat\/ALPHV mit Darkside\/Blackmatter verbunden sind. Das deutet darauf hin, dass sie \u00fcber umfangreiche Netzwerke und Erfahrungen mit Ransomware-Operationen verf\u00fcgen“. \u00a0Diese Verbindungen haben in Sicherheitskreisen die Spekulationen angeheizt, dass BlackCat das Rebranding der beiden inzwischen aufgel\u00f6sten Ransomware-Gruppen ist.<\/span><\/p>\n\n\n\n

Seit seiner Entdeckung hat BlackCat innerhalb eines Jahres durch mehrere Angriffe Schlagzeilen gemacht und ist dadurch bekannt geworden. Opfer der Ransomware Gruppe sind weltweit unter anderem Unternehmen aus den Bereichen Energie, Fertigung, Bauwesen, Einzelhandel, Technologie und Finanzen. Im Folgenden stellen wir Ihnen einige \u00f6ffentlich bekannt gewordene BlackCat Ransomware-Angriffe vor.<\/span><\/p>\n\n\n\n

Beispiele von BlackCat Ransomware Angriffen<\/span><\/strong><\/p>\n\n\n\n

Moncler:<\/span><\/strong> Die italienische Luxusmarke Moncler \u00a0wurde im Dezember 2021 eines der ersten Opfer eines BlackCat-Angriffs. Die Modemarke ver\u00f6ffentlichte daraufhin am 23. Dezember ein <\/span>Statement<\/a>, dass sie „einen Malware-Angriff auf ihre IT-Systeme entdeckt“ haben und dass „die Sicherheitssysteme des Unternehmens den Angriff sofort erkannt haben, so dass die IT-Abteilung alle notwendigen Ma\u00dfnahmen ergreifen konnte, um die Verbreitung zu stoppen“. Jedoch folgte am 30. Dezember eine weitere <\/span>Stellungnahme<\/a> von Monclear, dass „ein unbefugter Zugriff auf personenbezogene Daten festgestellt wurde.“ Am 18. Januar 2022 berichtete<\/a> Bleeping Computer, dass die gestohlenen Daten von Moncler auf der Tor-Leak-Site von BlackCat auftauchten, nachdem sie sich geweigert hatten, das geforderte L\u00f6segeld in H\u00f6he von 3 Millionen US-Dollar zu zahlen. Moncler best\u00e4tigte daraufhin, dass Informationen zu den Mitarbeitern, ehemaligen Mitarbeitern, Lieferanten, Beratern und Gesch\u00e4ftspartnern sowie Kunden gestohlen wurden.<\/span><\/p>\n\n\n\n

\"Graphical<\/figure>\n\n\n\n

<\/span><\/span><\/p>\n\n\n\n

Moncler-Datenleck-Seite auf der ALPHV-Tor-Seite (Quelle: Bleeping Computer)<\/span><\/p>\n\n\n\n

Oiltanking & Mabanaft:<\/span><\/strong> Am 1. Februar 2022 berichtete<\/a> das Handelsblatt, dass Oiltanking und Mabanaft, zwei Tochtergesellschaften des Hamburger Logistikkonzerns Marquard & Bahls, Opfer von Hackern geworden sind. Der Angriff auf Oiltanking \u2013 einer der weltweit gr\u00f6\u00dften, unabh\u00e4ngigen Tanklagerbetreiber f\u00fcr Petroleum Produkte, Chemikalien und Gasen \u2013 f\u00fchrte zu einem gro\u00dfen Chaos im deutschen Kraftstoffvertriebsnetz. \u00a0Alle Be- und Entladesysteme von Oiltanking wurden lahmgelegt. Dadurch mussten 233 Tankstellen deutschlandweit einige Prozesse manuell durchf\u00fchren. \u00a0Gleichzeitig mussten Kunden wie Royal Dutch Shell auf andere Versorgungsdepots umsteigen. Im Februar 2022 ver\u00f6ffentlichte Handelsblatt einen <\/span>internen Lagebericht<\/a> des Bundesamtes f\u00fcr Sicherheit in der Informationstechnik (BSI), dass BlackCat f\u00fcr den Angriff verantwortlich war.<\/span><\/p>\n\n\n\n

Empresas P\u00fablicas de Medell\u00edn<\/span><\/strong>: \u00a0Empresas P\u00fablicas de Medell\u00edn (EPM) ist eines der gr\u00f6\u00dften Versorgungsunternehmen Kolumbiens, das 123 Gemeinden mit Energie, Wasser und Gas versorgt. Am 13. Dezember 2022 teilte das Unternehmen den lokalen Medien<\/a> mit, dass es Opfer eines Cyberangriffs geworden war. Zwar wurde die Versorgung mit Energie, Wasser und Gas nicht beeintr\u00e4chtigt, jedoch wurde die IT-Infrastruktur und die Online-Dienste des Unternehmens, einschlie\u00dflich der Online-Transaktionsplattformen lahmgelegt und die Mitarbeiter mussten von zu Hause aus arbeiten. Nach einer Untersuchung best\u00e4tigte die Staatsanwaltschaft, dass EPM von einer Ransomware-Attacke betroffen war, w\u00e4hrend Bleeping Computer <\/a>sp\u00e4ter aufdeckte, dass BlackCat der T\u00e4ter war. Es bleibt unklar, wie viele Daten durch den Angriff gestohlen. Auf der Index-Seite, bei der es sich offenbar um den f\u00fcr den Angriff verwendeten BlackCat-Datenexfiltrations-Server handelt, sind jedoch etwas mehr als 40 Ger\u00e4te aufgef\u00fchrt.<\/span><\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

 <\/span><\/span><\/p>\n\n\n\n

BlackCat Datenexfiltrations-Server (Quelle: Bleeping Computer)<\/span> <\/span> <\/span><\/p>\n\n\n\n

Andere \u00f6ffentlich bekannt gewordene Angriffe der Ransomware Bande sind:<\/span><\/p>\n\n\n\n