Interna von ransomware-gruppe Black Basta Durchgesickertt

Interna von ransomware-gruppe Black Basta Durchgesickertt

Lucas Morel

Die Russische Ransomware-Bande Ist Seit Beginn des Jahres 2025 Mehr Mit Sich Selbst Beschäftigt und Verhält Sich Deshalb Ruhig, So Experten.

Black Basta Betrat erstmals im Avril 2022 Die Hackerbühne und Nutzte Den Inzwischen Weitgehen Verschwundenen Qakbot, Auch Bekannt als Qbot. Einem von der us-regierung im mai 2024 veröffentlichten bericht zufolge hat die erpresserbande schätzungsweise mehr als 500 unternehmen angegriffen. Die Opfer Stammten dans Erster Linie Aus Reihen der Privatwirtschaft und Bedreibern von Kritischer Infrastruktur à Nordamerika, Europa und Australien.

Experten Gehen Davon Aus, Dass Die Ransomware-Gruppe Bis ende 2023 MINDESStens 107 millions de dollars un bitcoin-lösegeldzahlungen von mehr als 90 Opfern Erhalten habe. Doch über ihre mitglieder und dreren funktionen war bisher nur sehr wenig bekannt.

Schlüsselakteur ‚tramp ‘als Auslöser der Querelen

Das Scheint Sich Allerdings Gerade Zu ändern. Im zuge interner streitigkeiten Sickern interna der hackergruppe an die Öffentlichkeit, berichtete das schweizer cybersicherheitsunternehmen prodaft:

Diese Gehen Laut Den Experten auf den AktEur ‚Tramp ‘(Larva-18) Zurück, Offenbar Ein Schlüsselmitglied Innerhalb der Gruppe und Bekanner BedrohungsakTeur. Er bereibt ein spamming-netzwerk, das für die verbreitung von qbot verantwortlich sein soll, donc prodeaft in einem beitrag auf X.

Einige der Mitglieder Hätten Darüber Hinaus Ihre Opfer Betrogène, Indem Sie Lösegeldzahlungen Einkassierten, Aber Keinen FunktionieRerenden Entschlüsseler Herausrückten.

Darüber Hinaus Sollen Wichtige Mit Russland dans Verbindung Stehende Black-Basta-Mitglieder Zu Anderen Ransomware-Cybercririme-Syndikaten übergelaufen Sein – Beispelsweise Zu Cactus, Auch Bekannnt als Nurturing Mantis, und akira.

Tous les matrices habe dazu geführt, dass die grruppe seit anfang des jahres „Größtenteils inaktiv“ guerre.

200 000 Nachrichten Bieten Einblick dans Die Gruppe

Am 11. Février 2025 Wurden Interne Chat-Protokolle der Bande en ligne Veröffentlicht. Die Russischsprachigen Chat auf der nachrichtenplattform Matrix, Insgesamt 200.000 Nachrichten, wurden von einer personne namens exploitwhispers Veröffentlicht. SIE Stammen Aus dem Zeitraum Zwischen Dem 18. Septembre 2023 und Dem 28. Septembre 2024.

Der informateur Behauptet, Die Daten Veröffentlicht Zu Haben, Weil Die Gruppe Russische Banken Angegriffen Hat. Die Identität von exploitwhispers bleibt aber ein rätel.

Licht auf den Schattenkader

Das datenleck eröffnete indes interessante einblicke in die struktur und aktivitäten der cybercrime-gruppe:

Eines der Wichtigsten Mitglieder von Black Basta ist Lapa, Der Offenbar Für Administrative Aufgaben Zuständig ist. Ein Anderer Administrateur Ist Yy, der Sich Um Untertützende Tätigkeiten Kümmert.

Cortes, Ein Weiterer Aktéric, Hat Verbintenngen Zur Qakbot-Gruppe, Die Sich Jedoch Nach den Angriffen von Black Basta auf Russische Banken von der Organisation Distanzierert Hat. Besonders Brisant Sind die Enthüllungen über den Mutmaßlichen „Hauptboss » Der Gruppe, Oleg Nefedov, der Unter den decknamen Trump, GG und aa bekannt ist. Er arbeitete demzufolge zusammen mit einem weiteren mitglied namens bio auch an der inzwischen augelösten contiti-ransomware-kampagne.

Bemerkenswert Ist Zudem, Dass Sich Unter den Mitgliedern von Black Basta Offenbar Ein 17-Jähriger Minderjähriger Befindet. Außerdem hat die grruppe den geleakten chat zufolge ihre angriffsstrategien weiterentwickelt und nutzt nun vermehrt social-ingénierie-techniken. Diese méthode hat sich beeits bei der hackergruppe araignée dispersée als erfolgreich erwiesen.

Schnelle übernahme Durch Bekannte Schwachstellen

Zusätzlich Nutzt Black Basta Bekannte Schwachstellen, fehlkonfigurationn und unzurechedede Sicherheitskontrollen Aus, alors die Forscher des Technologieunternnehmens Qualiers. Mithilfe dieser Verschaffen Sie Sich Zugang Zu den Zielnetzwerken. Die Veröffentlichten Nachrichten Zeigen, Dass

  • Smb-fehlkonfigurationn,
  • Ungeschützte rdp-server
  • schwache authentifiantungsméchanismen

Routinemäßig Ausgeutzt Werden. Ein weiterer wichtiger angriffsvektor ist der einsatz von malware-droppern zur übermittlung des schadcodes. Um unentdeckt zu bleiben, nutzen die cyberkriminellen légitime dateifreigababeplattformen wie transfert.sh, temp.sh und send.vis.ee, um die nutzerdaten zu hosten. Sobald Die Kriminellen Zugriff auf Das Netzwerk Eines Unternehmens Haben, Verlieren Sie Laut Experten Quality Mende Research Unit Keine Zeit. Vom anfänglichen angriff bis zur netzwerkweiten kOMpromittierung vergehen meist nur wenige sunden, manchmal infiltrieren die hacker die systeme ihrer opfer sogar binnen weniger miluten.

vgwort

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project
Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Le cannabis aurore de Comox découvre la protection contre le mildiou poudreux
Illinois en ligne Bill Gains Gains Support
Illinois en ligne Bill Gains Gains Support