Geleakte Black-Basta-Chatprotokolle enthüllen interne Abläufe und Konflikte
Ein massiver Leak enthüllt über ein Jahr interner Chatprotokolle der Ransomware-Gruppe Black Basta – und gewährt beispiellose Einblicke in ihre geheimen Taktiken und internen Machtkämpfe.
Die Chats, die auf der russischsprachigen Plattform Matrix zwischen dem 18. September 2023 und dem 28. September 2024 geführt wurden, tauchten am 11. Februar 2025 im Internet auf. Der anonyme Nutzer ExploitWhispers veröffentlichte die Daten, weil die Gruppe angeblich russische Banken ins Visier genommen hatte. Die Identität des Leakers ist unbekannt.
Black Basta trat erstmals im April 2022 in Erscheinung, als sie die inzwischen weitgehend inaktive Schadsoftware QakBot (auch QBot genannt) zur Verbreitung nutzte. Laut einem Bericht der US-Regierung aus dem Mai 2024 hat die Gruppe mit ihrer sogenannten Double Extortion-Methode mehr als 500 Unternehmen und kritische Infrastrukturen in Nordamerika, Europa und Australien angegriffen.
Schätzungen von Elliptic und Corvus Insurance zufolge hat Black Basta bis Ende 2023 über 107 Millionen US-Dollar in Bitcoin-Lösegeldzahlungen von mehr als 90 Opfern erpresst.
Das Schweizer Cybersicherheitsunternehmen PRODAFT berichtet, dass die Gruppe, die auch unter dem Namen Vengeful Mantis bekannt ist, seit Anfang 2024 kaum noch aktiv ist. Der Grund dafür sind interne Streitigkeiten: Einige Mitglieder sollen Lösegeld kassiert haben, ohne funktionierende Entschlüsselungstools bereitzustellen, wodurch die Gruppe an Glaubwürdigkeit verloren hat.
Zudem sind führende Mitglieder zu anderen Ransomware-Gruppen wie CACTUS (auch Nurturing Mantis genannt) und Akira gewechselt.
Ein zentraler Auslöser für die Konflikte war laut PRODAFT der Hacker Tramp (auch bekannt als LARVA-18). Er betreibt ein Netzwerk zur Verbreitung von Schadsoftware und spielte eine Schlüsselrolle in der Gruppe. Seine Aktionen sollen maßgeblich zur Destabilisierung von Black Basta beigetragen haben.
Einige der wichtigstenErkenntnisse aus dem Leak, der fast 200.000 Nachrichten umfasst, sind:
- Lapa ist einer der Hauptadministratoren von Black Basta und für administrative Aufgaben verantwortlich.
- Cortes wird mit der QakBot-Gruppe in Verbindung gebracht, die sich nach den Angriffen von Black Basta auf russische Banken von der Gruppe distanziert hat.
- YY ist ein weiterer Administrator von Black Basta, der sich um Support-Aufgaben kümmert.
- Trump ist ein Alias für den „Hauptboss“ der Gruppe, Oleg Nefedov, der auch unter den Namen GG und AA bekannt ist.
- Trump und eine weitere Person namens Bio arbeiteten zuvor gemeinsam im inzwischen zerschlagenen Conti-Ransomware-Netzwerk.
- Einer der Black Basta-Affiliates soll erst 17 Jahre alt sein.
- Die Gruppe setzt zunehmend auf Social Engineering, inspiriert durch die erfolgreichen Methoden von Scattered Spider.
Laut dem Sicherheitsunternehmen Qualys verschafft sich Black Basta Zugang zu Netzwerken, indem die Gruppe gezielt bekannte Sicherheitslücken, Fehlkonfigurationen und unzureichende Schutzmaßnahmen ausnutzt. Die geleakten Chats zeigen, dass die Angreifer häufig Fehlkonfigurationen im SMB-Protokoll, ungesicherte RDP-Server und schwache Authentifizierungssysteme ausnutzen. Dabei setzen sie oft auf Standard-VPN-Zugangsdaten oder Brute-Force-Angriffe, um gestohlene Passwörter zu knacken.
Ein weiteres zentrales Angriffsmittel ist der Einsatz von Malware-Droppern, mit denen Schadsoftware in Systeme eingeschleust wird. Um die Entdeckung zu vermeiden, nutzt Black Basta dabei legale File-Sharing-Dienste wie transfer.sh, temp.sh und send.vis.ee als Versteck für ihre Schadsoftware.
„Ransomware-Gruppen lassen sich heutzutage nicht mehr viel Zeit, sobald sie in ein Netzwerk eingedrungen sind“, erklärt Saeed Abbasi, Produktmanager bei der Qualys Threat Research Unit (TRU). „Die geleakten Daten zeigen, dass Black Basta innerhalb weniger Stunden – manchmal sogar Minuten – vom ersten Zugang zur vollständigen Netzwerkübernahme übergeht.“
Auch Cl0p und Ghost-Gruppen wieder aktiv
Zeitgleich mit diesen Erkenntnissen hat auch die Cl0p-Ransomware-Gruppe ihre Angriffe auf Unternehmen wieder aufgenommen. Laut dem Cyberint Research Team von Check Point nutzt die Gruppe eine neu entdeckte Sicherheitslücke (CVE-2024-50623) in der Cleo Managed File Transfer-Software, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Anschließend veröffentlicht Cl0p die gestohlenen Daten auf einer Leak-Seite.
„Cl0p kontaktiert die betroffenen Unternehmen direkt und bietet sichere Chat-Links für Verhandlungen an“, heißt es in einem aktuellen Bericht. „Wenn die Unternehmen nicht reagieren, droht die Gruppe damit, deren vollständige Namen innerhalb von 48 Stunden zu veröffentlichen.“
Parallel dazu warnt die U.S. Cybersecurity and Infrastructure Security Agency (CISA) vor einer neuen Angriffswelle der Ghost-Ransomware-Gruppe. Diese führt Daten-Exfiltration und Ransomware-Angriffe in über 70 Ländern durch, darunter auch China.
Ghost wechselt regelmäßig seine Angriffsmethoden:
- Sie ändert Dateiendungen verschlüsselter Dateien
- Sie passt die Lösegeldforderungen an
- Sie tritt unter verschiedenen Namen auf, darunter Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada und Rapture
„Seit 2021 greifen Ghost-Hacker gezielt Unternehmen an, deren Software und Firmware veraltet ist,“ so die CISA. „Die Gruppe hat ihren Sitz in China und agiert aus finanziellen Motiven. Betroffen sind kritische Infrastrukturen, Schulen, Universitäten, Krankenhäuser, Behörden, Technologie- und Produktionsunternehmen sowie viele kleine und mittelständische Betriebe.“
Ghost nutzt öffentlich verfügbaren Schadcode, um Systeme anzugreifen, die über das Internet erreichbar sind. Dabei macht sich die Gruppe gezielt Sicherheitslücken in Adobe ColdFusion (CVE-2009-3960, CVE-2010-2861), Fortinet FortiOS (CVE-2018-13379) und Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, auch bekannt als ProxyShell) zunutze.
So läuft ein Angriff ab:
- Erste Schwachstellen ausnutzen: Die Angreifer nutzen öffentliche Exploits, um in Systeme einzudringen.
- Webshell einschleusen: Nach dem Einbruch wird eine Webshell installiert, um weitere Schadsoftware herunterzuladen.
- Cobalt Strike aktivieren: Die Hacker nutzen das Tool, um ihre Präsenz im System zu festigen.
- Daten klauen und Kontrolle übernehmen: Tools wie Mimikatz (zum Auslesen von Passwörtern) und BadPotato (zum Erhöhen von Rechten) helfen den Angreifern.
- Weitere Systeme infizieren: Über Windows Management Instrumentation Command-Line (WMIC) führen sie PowerShell-Befehle aus, um sich im Netzwerk auszubreiten.
Falls es nicht gelingt, sich weiter im Netzwerk auszubreiten, brechen die Angreifer den Angriff oft ab.
Viele der von Black Basta genutzten Sicherheitslücken identifiziert
Das Cybersicherheitsunternehmen VulnCheck hat inzwischen in den geleakten Black Basta-Chatprotokollen 62 verschiedene Sicherheitslücken (CVEs) identifiziert. Davon werden 53 (85,5 Prozent) aktiv für Angriffe genutzt.
„Black Basta konzentriert sich auf Systeme mit bekannten Schwachstellen und setzt gezielt auf Sicherheitslücken, für die bereits funktionierende Exploits existieren,“ erklärt Patrick Garrity von VulnCheck. „Die Gruppe greift vor allem weitverbreitete Unternehmenslösungen an, darunter Citrix NetScaler, Atlassian Confluence, Fortinet, Cisco, Palo Alto, CheckPoint und Microsoft Windows.“
Die Auswahl der Angriffsziele basiert auf mehreren Faktoren:
- Finanzstarke Unternehmen, die eher bereit sind, Lösegeld zu zahlen
- Bereits vorhandene Exploits, die einen schnellen Zugang ermöglichen
- Geografische Kriterien, die Einfluss auf die Erfolgschancen eines Angriffs haben
Laut einem parallel veröffentlichten Bericht von GreyNoise sind 23 dieser 62 Schwachstellen derzeit aktiv im Einsatz, was Unternehmen zwingt, schnell zu reagieren und Sicherheitsupdates einzuspielen. „Einige dieser Sicherheitslücken wurden allein in den letzten 24 Stunden aktiv ausgenutzt, darunter kritische Schwachstellen in Palo Alto PAN-OS, JetBrains TeamCity, Microsoft Exchange und Cisco IOS XE,“ warnt GreyNoise. Zu den Schwachstellen, die am 26. Februar 2025 aktiv ausgenutzt wurden, zählen:
- CVE-2021-26855 – Microsoft Exchange Server (ProxyLogon)
- CVE-2021-44228 – Apache Log4j (Log4Shell)
- CVE-2022-30525 – Zyxel Firewall-Befehlsinjektion
- CVE-2022-41082 – Microsoft Exchange Server Remote Code Execution
- CVE-2023-4966 – Citrix NetScaler ADC-Sicherheitslücke (Citrix Bleed)
- CVE-2023-20198 – Cisco IOS XE Web UI-Zugriffsrechte-Erweiterung
- CVE-2023-22515 – Atlassian Confluence Fehlerhafte Zugriffskontrolle
- CVE-2023-36845 – Juniper Junos OS PHP-Schwachstelle
- CVE-2024-1709 – ConnectWise ScreenConnect Authentifizierungs-Bypass
- CVE-2024-3400 – Palo Alto Networks PAN-OS-Befehlsinjektion
- CVE-2024-24919 – Check Point Quantum Security Gateways Datenleck
- CVE-2024-27198 – JetBrains TeamCity Authentifizierungs-Bypass
Unternehmen, die betroffene Systeme nutzen, sollten dringend Sicherheitsupdates installieren, um das Risiko eines Angriffs zu minimieren.