{"id":2132,"date":"2025-02-28T09:44:00","date_gmt":"2025-02-28T09:44:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=2132"},"modified":"2025-02-28T09:44:00","modified_gmt":"2025-02-28T09:44:00","slug":"interna-von-ransomware-gruppe-black-basta-durchgesickert","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=2132","title":{"rendered":"Interna von Ransomware-Gruppe Black Basta durchgesickert"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
\n

\u00dcber die vergangenen Jahre hat Black Basta mit mehr als 500 Opfern weltweit von sich Reden gemacht. Durchgesickerte Chat-Protokolle enth\u00fcllen die innere Funktionsweise und interne Konflikte der Gruppe.<\/p>\n

DC Studio \u2013 shutterstock.com<\/p>\n<\/div>\n

Black Basta<\/a> betrat erstmals im April 2022 die Hackerb\u00fchne und nutzte den inzwischen weitgehend verschwundenen QakBot<\/a>, auch bekannt als QBot. Einem von der US-Regierung im Mai 2024 ver\u00f6ffentlichten Bericht zufolge hat die Erpresserbande sch\u00e4tzungsweise mehr als 500 Unternehmen angegriffen<\/a>. Die Opfer<\/a> stammten in erster Linie aus Reihen der Privatwirtschaft und Betreibern von kritischer Infrastruktur in Nordamerika, Europa und Australien.<\/p>\n

Experten<\/a> gehen davon aus, dass die Ransomware-Gruppe bis Ende 2023 mindestens 107 Millionen Dollar an Bitcoin-L\u00f6segeldzahlungen von mehr als 90 Opfern erhalten habe. Doch \u00fcber ihre Mitglieder und deren Funktionen war bisher nur sehr wenig bekannt.<\/p>\n

Schl\u00fcsselakteur \u201aTramp\u2018 als Ausl\u00f6ser der Querelen<\/strong><\/h2>\n

Das scheint sich allerdings gerade zu \u00e4ndern. Im Zuge interner Streitigkeiten sickern Interna der Hackergruppe an die \u00d6ffentlichkeit, berichtete das Schweizer Cybersicherheitsunternehmen PRODAFT:<\/p>\n

Diese gehen laut den Experten auf den Akteur \u201aTramp\u2018 (LARVA-18) zur\u00fcck, offenbar ein Schl\u00fcsselmitglied innerhalb der Gruppe und bekannter Bedrohungsakteur. Er betreibt ein Spamming-Netzwerk, das f\u00fcr die Verbreitung von QBot verantwortlich sein soll, so PRODAFT in einem Beitrag auf X<\/a>.<\/p>\n

Einige der Mitglieder h\u00e4tten dar\u00fcber hinaus ihre Opfer betrogen, indem sie L\u00f6segeldzahlungen einkassierten, aber keinen funktionierenden Entschl\u00fcsseler herausr\u00fcckten.<\/p>\n

Dar\u00fcber hinaus sollen wichtige mit Russland in Verbindung stehende Black-Basta-Mitglieder zu anderen \u00a0Ransomware-Cybercrime-Syndikaten \u00fcbergelaufen sein \u2013 beispielsweise zu \u00a0CACTUS<\/a>, auch bekannt als Nurturing Mantis, und Akira<\/a>.<\/p>\n

All dies habe dazu gef\u00fchrt, dass die Gruppe seit Anfang des Jahres \u201egr\u00f6\u00dftenteils inaktiv\u201c war.<\/p>\n

200.000 Nachrichten bieten Einblick in die Gruppe<\/strong><\/h2>\n

Am 11. Februar 2025<\/a> wurden interne Chat-Protokolle der Bande online ver\u00f6ffentlicht. Die russischsprachigen Chats auf der Nachrichtenplattform Matrix, insgesamt 200.000 Nachrichten, wurden von einer Person namens ExploitWhispers ver\u00f6ffentlicht. Sie stammen aus dem Zeitraum zwischen dem 18. September 2023 und dem 28. September 2024.<\/p>\n

Der Informant behauptet, die Daten ver\u00f6ffentlicht zu haben, weil die Gruppe russische Banken angegriffen hat. Die Identit\u00e4t von ExploitWhispers bleibt aber ein R\u00e4tsel.<\/p>\n

Licht auf den Schattenkader<\/strong><\/h2>\n

Das Datenleck<\/a> er\u00f6ffnete indes interessante Einblicke in die Struktur und Aktivit\u00e4ten der Cybercrime-Gruppe:<\/p>\n

Eines der wichtigsten Mitglieder von Black Basta ist Lapa, der offenbar f\u00fcr administrative Aufgaben zust\u00e4ndig ist. Ein anderer Administrator ist YY, der sich um unterst\u00fctzende T\u00e4tigkeiten k\u00fcmmert.<\/p>\n

Cortes, ein weiterer Akteur, hat Verbindungen zur QakBot-Gruppe, die sich jedoch nach den Angriffen von Black Basta auf russische Banken von der Organisation distanziert hat. Besonders brisant sind die Enth\u00fcllungen \u00fcber den mutma\u00dflichen \u201eHauptboss\u201c der Gruppe, Oleg Nefedov, der unter den Decknamen Trump, GG und AA bekannt ist. Er arbeitete demzufolge zusammen mit einem weiteren Mitglied namens Bio auch an der inzwischen aufgel\u00f6sten<\/a> Conti-Ransomware<\/a>-Kampagne.<\/p>\n

Bemerkenswert ist zudem, dass sich unter den Mitgliedern von Black Basta offenbar ein 17-j\u00e4hriger Minderj\u00e4hriger befindet. Au\u00dferdem hat die Gruppe den geleakten Chats zufolge ihre Angriffsstrategien weiterentwickelt und nutzt nun vermehrt Social-Engineering-Techniken. Diese Methode hat sich bereits bei der Hackergruppe Scattered Spider als erfolgreich erwiesen.<\/p>\n

Schnelle \u00dcbernahme durch bekannte Schwachstellen<\/strong><\/h2>\n

Zus\u00e4tzlich nutzt Black Basta bekannte Schwachstellen, Fehlkonfigurationen und unzureichende Sicherheitskontrollen aus, so die Forscher des Technologieunternehmens Qualys. Mithilfe dieser verschaffen sie sich Zugang zu den Zielnetzwerken. Die ver\u00f6ffentlichten Nachrichten zeigen, dass<\/p>\n

SMB-Fehlkonfigurationen,<\/p>\n

ungesch\u00fctzte RDP-Server und<\/p>\n

schwache Authentifizierungsmechanismen<\/p>\n

routinem\u00e4\u00dfig ausgenutzt werden. Ein weiterer wichtiger Angriffsvektor ist der Einsatz von Malware-Droppern zur \u00dcbermittlung des Schadcodes. Um unentdeckt zu bleiben, nutzen die Cyberkriminellen legitime Dateifreigabeplattformen wie transfer.sh, temp.sh und send.vis.ee, um die Nutzerdaten zu hosten. Sobald die Kriminellen Zugriff auf das Netzwerk eines Unternehmens haben, verlieren sie laut Experten Qualys Threat Research Unit keine Zeit. Vom anf\u00e4nglichen Angriff bis zur netzwerkweiten Kompromittierung vergehen meist nur wenige Stunden, manchmal infiltrieren die Hacker die Systeme ihrer Opfer sogar binnen weniger Minuten.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

\u00dcber die vergangenen Jahre hat Black Basta mit mehr als 500 Opfern weltweit von sich Reden gemacht. Durchgesickerte Chat-Protokolle enth\u00fcllen die innere Funktionsweise und interne Konflikte der Gruppe. DC Studio \u2013 shutterstock.com Black Basta betrat erstmals im April 2022 die Hackerb\u00fchne und nutzte den inzwischen weitgehend verschwundenen QakBot, auch bekannt als QBot. Einem von der […]<\/p>\n","protected":false},"author":0,"featured_media":2133,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-2132","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2132"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2132"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/2132\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/2133"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2132"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2132"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2132"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}