Startseite > Security > Neue Ransomware-Variante von Black Basta

Luna: Ransomware-Gruppe nutzt plattformübergreifende Programmiersprache

Neue Ransomware-Variante von Black Basta

21. Juli 2022, 12:30 Uhr | Jörg Schröper

Kaspersky-Forscher haben eine neue Ransomware-Gruppe identifiziert, die nach ihrer Einschätzung den Trend zur Nutzung plattformübergreifender Funktionalitäten weiter unterstreicht. Die Gruppe Luna verwendet eine in Rust geschriebene Ransomware. Sie ermöglicht es, Malware in einfacher Weise von einem Betriebssystem auf ein anderes zu adaptieren.

Luna setzt Malware ein, die in Rust geschrieben ist, und kann dadurch Windows-, Linux- sowie ESXi-Systeme auf einmal angreifen. In der von Kaspersky entdeckten Anzeige im Dark Web heißt es, dass Luna nur mit russischsprachigen Partnern zusammenarbeitet. Darüber hinaus enthält die in der Binärdatei fest einkodierte Lösegeldforderung einige Rechtschreibfehler, was darauf schließen lasse, dass die Gruppe möglicherweise russischsprachig ist. Da es sich bei Luna um eine neu entdeckte Gruppe handelt, gibt es noch wenig Daten über ihre Viktimologie – Kaspersky verfolgt jedoch aktiv die Aktivitäten von Luna.

Die Entdeckung von Luna unterstreicht den jüngsten Trend zu plattformübergreifender Ransomware; Sprachen wie Golang und Rust haben moderne Ransomware-Banden bereits im vergangenen Jahr in großem Umfang eingesetzt. Dazu gehören unter anderem BlackCat und Hive, wobei letztere sowohl Go als auch Rust verwenden. Diese Programmiersprachen sind plattformunabhängig, sodass sich die mit ihnen geschriebene Ransomware leicht auf weitere Plattformen übertragen lässt. Die Angriffe können dadurch auf mehrere Betriebssysteme gleichzeitig gerichtet werden.

Eine weitere, kürzlich von Kaspersky durchgeführte Untersuchung gibt einen tieferen Einblick in die Aktivitäten des Ransomware-Akteurs Black Basta. Diese Gruppe führt eine neue, in C++ geschriebene Ransomware-Variante aus, die erstmals im Februar 2022 öffentlich wurde. Seitdem ist es Black Basta gelungen, mehr als 40 Opfer anzugreifen – hauptsächlich in den Vereinigten Staaten, Europa und Asien.

Wie die Untersuchungen von Kaspersky zeigen, zielen sowohl Luna als auch Black Basta auf ESXi-Systeme sowie Windows und Linux ab – ein weiterer Ransomware-Trend des Jahres 2022. ESXi ist ein Hypervisor, der unabhängig von anderen Betriebssystemen zum Einsatz kommen kann. Da viele Unternehmen virtuelle Maschinen auf ESXi-Basis nutzen, ist es für die Angreifer einfacher geworden, die Daten ihrer Opfer zu verschlüsseln.

„Die Trends, die wir Anfang des Jahres skizziert haben, scheinen sich zu verstärken“, betont Jornt van der Wiel, Sicherheitsexperte bei Kaspersky. „Wir beobachten, dass immer mehr cyberkriminelle Banden plattformübergreifende Sprachen für die Entwicklung ihrer Ransomware verwenden. Damit können sie ihre Malware auf einer Vielzahl von Betriebssystemen einsetzen. Die zunehmenden Angriffe auf virtuelle ESXi-Maschinen sind alarmierend. Wir erwarten, dass immer mehr Ransomware-Familien auf diese Strategie zurückgreifen werden.“