Interner Konflikt

Chats geleakt: Ransomware-Gruppe Black Basta bröckelt

Hacker
LinkedInRedditWhatsAppPocket

Die für über 500 Cyberangriffe verantwortliche Ransomware-Gruppe Black Basta ist nach internen Streitigkeiten in der Krise. Ein am 11. Februar 2025 auf Telegram veröffentlichter Leak ihrer Matrix-Chats gibt nun tiefe Einblicke in die Arbeitsweise der Cyberkriminellen.

Grund für den Leak war offenbar ein interner Konflikt. Der Leaker behauptete, er habe die Daten veröffentlicht, weil die Gruppe es auf russische Banken abgesehen habe.

Anzeige

Das Cybersicherheitsunternehmen Hudson Rock hat daraufhin die über eine Million internen Nachrichten in einen Chatbot namens BlackBastaGPT eingespeist. Dieser ermöglicht Threat-Intelligence-Analysten, die Handlungen, Taktiken und Geldflüsse der Gruppe sekundenschnell auszuwerten.

Als Hauptverantwortlicher wurde der unter dem Alias „GG“ oder „Trump“ bekannte Oleg Nefedov identifiziert. Er trat in den Chats als dominanter Anführer auf, der Deadlines setzte und Druck auf andere Mitglieder ausübte. Ein weiterer Administrator namens „Lapa“ wurde trotz seiner wichtigen Verwaltungsaufgaben häufig vom Boss beschimpft und erhielt deutlich weniger Bezahlung als andere Gangmitglieder.

So geht Black Basta vor

Die Gruppe nutzte verschiedene Angriffsvektoren:

Anzeige
  • Ausnutzung schwacher Zugangsdaten
  • Zugriff auf ungeschützte RDP-Server
  • Bekannte ESXi-Sicherheitslücken
  • Fehlkonfigurierte VPNs
  • Social Engineering (Vishing und Phishing)

Besonders interessiert zeigte sich die Gruppe an VPN-Exploits. Die Analyse ergab 367 eindeutige Zoom-Links, Domains und IP-Adressen im Arsenal der Kriminellen. Den Opfern wurden in der Regel 10-12 Tage Zeit gegeben, Lösegeld zu zahlen, bevor gestohlene Daten im Darknet veröffentlicht wurden.

Der Niedergang von Black Basta

Der Niedergang begann Anfang 2025, als wichtige Mitglieder zur Konkurrenz-Gang „Cactus“ überliefen. Black Basta ist seit Anfang des Jahres aufgrund der internen Konflikte weitgehend inaktiv. Die Gruppe war als Ableger der berüchtigten russischen Conti-Ransomware-Gang entstanden. Die geleakten Nachrichten weisen starke Ähnlichkeiten mit früheren Veröffentlichungen von Conti-internen Chats auf.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Telekom setzt erstmals Mobilfunk-Drohne ein
Landkreis Schaumburg: Mehrfacher Internetbetrug
Windows 10 Support endet: Verwaltungen rüsten Computer um
Apple stoppt Cloud-Encryption in Großbritannien
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.