Black Basta: EU und Interpol jagen mutmaßlichen Ransomware-Anführer : Internationale Fahndung zeigt, wie eng organisierte Cyberkriminalität und staatliche Interessen verwoben sind
Ein russischer Hackerboss auf den Fahndungslisten Europas, verhaftete Komplizen in der Ukraine und neue Spuren zu aktiven Erpresserbanden: Der Fall Black Basta offenbart, wie schwer es ist, Ransomware-Strukturen dauerhaft zu zerschlagen – und wie schnell sie sich neu formieren.
Die internationale Jagd auf die Ransomware-Gruppe Black Basta erreicht eine neue Eskalationsstufe. Ukrainische und deutsche Ermittlungsbehörden haben zwei ukrainische Staatsbürger identifiziert, die im Verdacht stehen, für die mit Russland verbundene Ransomware-as-a-Service-Gruppe gearbeitet zu haben. Gleichzeitig wurde der mutmaßliche Anführer der Gruppierung, der 35-jährige russische Staatsbürger Oleg Evgenievich Nefedov, auf die Liste der meistgesuchten Personen der Europäischen Union sowie auf die Rote Liste von Interpol gesetzt.
Technische Spezialisten im Dienst der Erpressung
Nach Angaben der ukrainischen Cyberpolizei waren die Verdächtigen vor allem für das technische Eindringen in geschützte Systeme zuständig. „Den Ermittlungen zufolge waren die Verdächtigen auf das technische Hacken geschützter Systeme spezialisiert und an der Vorbereitung von Cyberangriffen mit Ransomware beteiligt“, erklärte die Behörde.
Die beiden Beschuldigten agierten demnach als sogenannte Hash-Cracker. Mithilfe spezialisierter Software extrahierten sie Passwörter aus kompromittierten Informationssystemen. Diese Zugangsdaten ermöglichten es der Gruppe, tief in Unternehmensnetzwerke einzudringen, Schadsoftware zu platzieren und anschließend Lösegeld für die Entschlüsselung der Daten zu fordern.
Durchsuchungen in den Wohnungen der Verdächtigen in Iwano-Frankiwsk und Lemberg führten zur Sicherstellung digitaler Speichermedien sowie zur Beschlagnahme eines beträchtlichen Kryptowährungsguthabens.
Ein Netzwerk mit globaler Reichweite
Black Basta tauchte erstmals im April 2022 in der internationalen Bedrohungslandschaft auf und soll seither mehr als 500 Unternehmen in Nordamerika, Europa und Australien angegriffen haben. Die Gruppe soll durch illegale Zahlungen Hunderte Millionen Dollar in Kryptowährungen eingenommen haben.
Ein Wendepunkt war die Veröffentlichung interner Chat-Protokolle Anfang des vergangenen Jahres. Das geleakte Material gewährte einen seltenen Einblick in die Struktur, Hierarchien und Arbeitsweisen der Gruppe. Besonders brisant: Die Dokumente identifizierten Nefedov eindeutig als Anführer und führten zahlreiche Pseudonyme auf, unter denen er operierte, darunter Tramp, Trump, GG und AA.
Verbindungen zu Staat und Geheimdiensten
Mehrere der geleakten Dokumente legen nahe, dass Nefedov über Kontakte zu hochrangigen russischen Politikern sowie zu Geheimdiensten wie dem Föderalen Sicherheitsdienst und dem Militärgeheimdienst verfügte. Ermittler vermuten, dass diese Beziehungen genutzt wurden, um Strafverfolgung zu umgehen und sich der internationalen Justiz zu entziehen.
Eine Analyse des Sicherheitsunternehmens Trellix zeigte zudem, dass Nefedov trotz seiner Verhaftung im Juni 2024 in Eriwan offenbar niemals wirklich in Gefangenschaft war. Sein aktueller Aufenthaltsort gilt als unbekannt, auch wenn Hinweise auf einen Aufenthalt in Russland hindeuten.
Konti, Black Basta und das ewige Wiederauftauchen
Ermittler sehen außerdem Verbindungen zwischen Black Basta und der inzwischen aufgelösten Ransomware-Gruppe Conti, die als Nachfolger von Ryuk entstand. Das Außenministerium der Vereinigten Staaten setzte im August 2022 eine Belohnung von 10 Millionen Dollar für Hinweise auf führende Conti-Mitglieder aus, darunter auch Personen mit Decknamen, die später bei Black Basta wieder auftauchten.
Nach dem Rückzug der Marke Conti im Jahr 2022 traten Black Basta, BlackByte und KaraKurt als eigenständige Gruppen auf. Andere Akteure schlossen sich Gruppierungen wie BlackCat, Hive, AvosLocker und HelloKitty an, die inzwischen ebenfalls verschwunden sind.
Ermittler sehen Anführer klar identifiziert
Das Bundeskriminalamt (BKA) beschreibt Nefedov als zentrale Steuerungsfigur: „Er war der Anführer der Gruppe. In dieser Funktion entschied er, wer oder welche Organisationen Ziel von Angriffen sein sollten, rekrutierte Mitglieder, wies ihnen Aufgaben zu, nahm an Lösegeldverhandlungen teil, verwaltete das erlangte Lösegeld und bezahlte damit die Mitglieder der Gruppe.“
Die Enthüllungen scheinen Black Basta schwer getroffen zu haben. Seit Februar ist die Gruppe verstummt, ihre Leak-Seite wurde kurz darauf entfernt. Doch Sicherheitsexperten warnen vor vorschnellem Optimismus.
Neue Gruppe, alte Akteure
Berichte von ReliaQuest und Trend Micro deuten darauf hin, dass ehemalige Mitglieder von Black Basta zur Ransomware-Gruppe Cactus gewechselt sind. Im Februar 2025 kam es dort zu einem auffälligen Anstieg veröffentlichter Opferdaten – zeitgleich mit dem Verschwinden von Black Basta.
Der Fall zeigt erneut, wie wandelbar und widerstandsfähig organisierte Cyberkriminalität ist. Selbst wenn Namen und Infrastrukturen verschwinden, bleiben die Akteure aktiv. Für Ermittler bedeutet das: Der Kampf gegen Ransomware ist kein einzelner Schlag, sondern ein permanenter Wettlauf gegen neu entstehende Schattenorganisationen.