Seit ihrem ersten Auftauchen vor zwei Jahren hat die Ransomware-Gruppe Black Basta schnell an Bekanntheit gewonnen und gilt als eine der größten Bedrohungen für die Cybersicherheit von Gesundheitsorganisationen.
Bei der Cybergang handelt es sich vermutlich um einen Ableger der berüchtigten russischen Cyberkriminellengruppe Conti. Die Gruppe – die für den massiven Cyberangriff auf Ascension im vergangenen Monat verantwortlich ist – hat laut einer Meldung der Cybersecurity and Infrastructure Security Agency (CISA) vom Mai mehr als 500 Organisationen auf der ganzen Welt betroffen.
Nachfolgend finden Sie drei wichtige Informationen zu dieser Gruppe von Cyberkriminellen.
Normalerweise haben die Opfer weniger als zwei Wochen Zeit, um das Lösegeld der Gruppe zu bezahlen.
Black Basta, das erstmals im April 2022 identifiziert wurde, hat der Mitteilung der CISA zufolge eine breite Palette von Organisationen in Nordamerika, Europa und Australien angegriffen.
Die Ransomware-Bande verwendet in der Regel gängige Techniken, um sich zunächst Zugang zu den Systemen ihrer Opfer zu verschaffen, wie etwa Phishing oder das Ausnutzen bekannter Software-Schwachstellen. Von dort aus verwendet Black Basta einen doppelten Erpressungsansatz, d. h. es verschlüsselt die Systeme seiner Opfer und exfiltriert die Daten.
Normalerweise geben die Erpresserbriefe der Gruppe den Opfern 10–12 Tage Zeit, das Lösegeld zu zahlen, bevor ihre Daten veröffentlicht werden.
In den ersten anderthalb Jahren erpresste die Gruppe mehr als 100 Millionen Dollar.
Aus einem Ende November von den Währungsverfolgungsdiensten Elliptic und Corvus Insurance veröffentlichten Bericht ging hervor, dass Black Basta von mehr als 90 Opfern Bitcoins im Wert von mindestens 107 Millionen US-Dollar erbeutet hatte.
Die durchschnittliche Lösegeldzahlung betrug laut Bericht 1,2 Millionen Dollar. Die höchste Lösegeldzahlung betrug 9 Millionen Dollar, und mindestens 18 Zahlungen überstiegen die 1-Million-Dollar-Grenze.
Die Existenz von Cybergangs wie Black Basta erfordert von den Anbietern mehr Vorsichtsmaßnahmen als je zuvor.
Wenn ein großer Gesundheitsdienstleister wie Ascension von einem Ransomware-Angriff betroffen ist, implementiert das Personal oft manuelle Workarounds, um die Patientenversorgung während des Vorfalls fortzusetzen. Diese Workarounds können jedoch zusätzliche Sicherheitsrisiken schaffen, sagte Joel Burleson-Davis, Senior Vice President für weltweite Entwicklung und Cybersicherheit beim digitalen Identitätssicherheitsunternehmen Imprivata, in einem kürzlichen Interview.
„Wenn normale Systeme kompromittiert werden, greifen Gesundheitsdienstleister möglicherweise auf ungesicherte Methoden zurück, um auf Patienteninformationen zuzugreifen oder diese weiterzugeben, beispielsweise persönliche Geräte oder manuelle Aufzeichnungen“, erklärte er. „Diese Praktiken können das Risiko von Datenlecks erhöhen und die Patientensicherheit weiter gefährden, da sie häufig etablierte Sicherheitsprotokolle umgehen, die zum Schutz von Patienteninformationen entwickelt wurden.“
Wenn ein Mitarbeiter keinen Zugriff auf sichere Kommunikationssysteme und/oder Dienste Dritter hat, besteht die Möglichkeit, dass er vertrauliche Informationen wie Passwörter oder Patientendaten per E-Mail, Telefon oder auf Papier weitergibt.
Dies sei nicht nur deshalb riskant, weil Dokumente verlegt und Telefone und E-Mails von Mitarbeitern gehackt werden könnten, sondern auch, weil es Berichte gebe, wonach cyberkriminelle Gruppen wie Black Basta Social-Engineering-Angriffe, darunter Voice-Phishing, nutzten, um sich Zugang zu Systemen zu verschaffen, erklärte Burleson-Davis.
„Ohne Multi-Faktor-Authentifizierung oder andere Methoden zur Identitätsüberprüfung kann ein Mitarbeiter, der den Versorgungsfluss aufrechterhalten möchte, die Organisation unbeabsichtigt einem noch größeren Missbrauch aussetzen, indem er Informationen an Dritte weitergibt“, bemerkte er.
Foto: WhataWin, Getty Images
