Interna von Ransomware-Gruppe Black Basta durchgesickert

DC Studio – shutterstock.com

Black Basta betrat erstmals im April 2022 die Hackerbühne und nutzte den inzwischen weitgehend verschwundenen QakBot, auch bekannt als QBot. Einem von der US-Regierung im Mai 2024 veröffentlichten Bericht zufolge hat die Erpresserbande schätzungsweise mehr als 500 Unternehmen angegriffen. Die Opfer stammten in erster Linie aus Reihen der Privatwirtschaft und Betreibern von kritischer Infrastruktur in Nordamerika, Europa und Australien.

Experten gehen davon aus, dass die Ransomware-Gruppe bis Ende 2023 mindestens 107 Millionen Dollar an Bitcoin-Lösegeldzahlungen von mehr als 90 Opfern erhalten habe. Doch über ihre Mitglieder und deren Funktionen war bisher nur sehr wenig bekannt.

Schlüsselakteur ‚Tramp‘ als Auslöser der Querelen

Das scheint sich allerdings gerade zu ändern. Im Zuge interner Streitigkeiten sickern Interna der Hackergruppe an die Öffentlichkeit, berichtete das Schweizer Cybersicherheitsunternehmen PRODAFT:

Diese gehen laut den Experten auf den Akteur ‚Tramp‘ (LARVA-18) zurück, offenbar ein Schlüsselmitglied innerhalb der Gruppe und bekannter Bedrohungsakteur. Er betreibt ein Spamming-Netzwerk, das für die Verbreitung von QBot verantwortlich sein soll, so PRODAFT in einem Beitrag auf X.

Einige der Mitglieder hätten darüber hinaus ihre Opfer betrogen, indem sie Lösegeldzahlungen einkassierten, aber keinen funktionierenden Entschlüsseler herausrückten.

Darüber hinaus sollen wichtige mit Russland in Verbindung stehende Black-Basta-Mitglieder zu anderen  Ransomware-Cybercrime-Syndikaten übergelaufen sein – beispielsweise zu  CACTUS, auch bekannt als Nurturing Mantis, und Akira.

All dies habe dazu geführt, dass die Gruppe seit Anfang des Jahres „größtenteils inaktiv“ war.

200.000 Nachrichten bieten Einblick in die Gruppe

Am 11. Februar 2025 wurden interne Chat-Protokolle der Bande online veröffentlicht. Die russischsprachigen Chats auf der Nachrichtenplattform Matrix, insgesamt 200.000 Nachrichten, wurden von einer Person namens ExploitWhispers veröffentlicht. Sie stammen aus dem Zeitraum zwischen dem 18. September 2023 und dem 28. September 2024.

Der Informant behauptet, die Daten veröffentlicht zu haben, weil die Gruppe russische Banken angegriffen hat. Die Identität von ExploitWhispers bleibt aber ein Rätsel.

Licht auf den Schattenkader

Das Datenleck eröffnete indes interessante Einblicke in die Struktur und Aktivitäten der Cybercrime-Gruppe:

Eines der wichtigsten Mitglieder von Black Basta ist Lapa, der offenbar für administrative Aufgaben zuständig ist. Ein anderer Administrator ist YY, der sich um unterstützende Tätigkeiten kümmert.

Cortes, ein weiterer Akteur, hat Verbindungen zur QakBot-Gruppe, die sich jedoch nach den Angriffen von Black Basta auf russische Banken von der Organisation distanziert hat. Besonders brisant sind die Enthüllungen über den mutmaßlichen „Hauptboss“ der Gruppe, Oleg Nefedov, der unter den Decknamen Trump, GG und AA bekannt ist. Er arbeitete demzufolge zusammen mit einem weiteren Mitglied namens Bio auch an der inzwischen aufgelösten Conti-Ransomware-Kampagne.

Bemerkenswert ist zudem, dass sich unter den Mitgliedern von Black Basta offenbar ein 17-jähriger Minderjähriger befindet. Außerdem hat die Gruppe den geleakten Chats zufolge ihre Angriffsstrategien weiterentwickelt und nutzt nun vermehrt Social-Engineering-Techniken. Diese Methode hat sich bereits bei der Hackergruppe Scattered Spider als erfolgreich erwiesen.

Schnelle Übernahme durch bekannte Schwachstellen

Zusätzlich nutzt Black Basta bekannte Schwachstellen, Fehlkonfigurationen und unzureichende Sicherheitskontrollen aus, so die Forscher des Technologieunternehmens Qualys. Mithilfe dieser verschaffen sie sich Zugang zu den Zielnetzwerken. Die veröffentlichten Nachrichten zeigen, dass

• SMB-Fehlkonfigurationen,
• ungeschützte RDP-Server und
• schwache Authentifizierungsmechanismen

routinemäßig ausgenutzt werden. Ein weiterer wichtiger Angriffsvektor ist der Einsatz von Malware-Droppern zur Übermittlung des Schadcodes. Um unentdeckt zu bleiben, nutzen die Cyberkriminellen legitime Dateifreigabeplattformen wie transfer.sh, temp.sh und send.vis.ee, um die Nutzerdaten zu hosten. Sobald die Kriminellen Zugriff auf das Netzwerk eines Unternehmens haben, verlieren sie laut Experten Qualys Threat Research Unit keine Zeit. Vom anfänglichen Angriff bis zur netzwerkweiten Kompromittierung vergehen meist nur wenige Stunden, manchmal infiltrieren die Hacker die Systeme ihrer Opfer sogar binnen weniger Minuten.