Massives Black Basta-Leck enthüllt die Funktionsweise eines Ransomware-Giganten

In einer seltenen und überraschenden Entwicklung ist eine Fülle interner Chatprotokolle der Black Basta-Ransomware-Bande online durchgesickert und bietet einen beispiellosen Einblick hinter die Kulissen einer der gefährlichsten derzeit aktiven Cyberkriminellen-Organisationen. Das Leck wird bereits mit den berüchtigten Conti-Leaks von Anfang 2022 verglichen, die die internen Operationen eines anderen berüchtigten Ransomware-Syndikats offenlegten.

Diese neueste Enthüllung, die am 20. Februar 2025 öffentlich gemacht wurde, stammt von einem Whistleblower namens ExploitWhispers, der Berichten zufolge eine 47 MB große JSON-Datei mit über 200.000 Chat-Nachrichten von Black Basta-Mitgliedern veröffentlicht hat. Die Chats decken ein ganzes Jahr der Aktivität ab, von September 2023 bis September 2024, und werden nun von Cybersicherheitsforschern weltweit sorgfältig analysiert.

Warum wurde Black Basta entlarvt?

Laut den Nachrichten, die mit dem Leak geteilt wurden, könnte das Motiv für die Enthüllung darin liegen, dass Black Basta beschlossen hatte, russische Banken ins Visier zu nehmen – ein Schritt, der in der Welt der russischsprachigen Cyberkriminalität oft als unverzeihlicher Fehler gilt. Wenn das stimmt, würde das erklären, warum ein Insider beschlossen hat, so sensibles Material durchsickern zu lassen.

Darüber hinaus stellt das Bedrohungsinformationsunternehmen Prodaft fest, dass Black Basta seit Anfang 2025 größtenteils inaktiv war, angeblich aufgrund interner Streitigkeiten. Da sich hinter den Kulissen Chaos zusammenbraut, fügt das Leck eine weitere Ebene der Unsicherheit über die Zukunft der Gruppe hinzu.

Was die durchgesickerten Chats enthüllen

Das Leck bietet nicht nur einen faszinierenden Einblick in die Persönlichkeiten und den alltäglichen Chat der Black-Basta-Betreiber – es ist auch eine Blaupause dafür, wie die Bande ihre Angriffe durchführt, Ziele auswählt und Schwachstellen ausnutzt.

Die Sicherheitsfirmen VulnCheck und Qualys haben bereits erste Ergebnisse veröffentlicht, die sich auf die in den Protokollen verborgenen technischen Details konzentrieren. Laut der Analyse von VulnCheck erwähnen die Chats 62 einzigartige CVEs (Common Vulnerabilities and Exposures), von denen einige innerhalb weniger Tage nach ihrer öffentlichen Bekanntgabe und einige sogar noch vor ihrer offiziellen Veröffentlichung besprochen wurden.

Noch alarmierender ist, dass die Protokolle darauf schließen lassen, dass Black Basta sich nicht nur auf öffentlich bekannte Exploits verlässt. Es gibt klare Beweise dafür, dass die Gruppe über die Ressourcen verfügt, um neue Exploits zu entwickeln, und dass sie den Kauf exklusiver Schwachstellen von anderen Bedrohungsakteuren erwägt.

Qualys ist noch einen Schritt weiter gegangen und hat eine Prioritätenliste für Verteidiger zusammengestellt, die Folgendes umfasst:

  • Top 20 CVEs, die sofortiges Patchen erfordern.
  • Die 10 häufigsten von Black Basta ausgenutzten Fehlkonfigurationen.
  • Ein vollständiger Anhang aller im Leck erwähnten Schwachstellen.

Für Sicherheitsteams stellt dieses Leck eine seltene Gelegenheit dar, genau zu verstehen, welche Schwachstellen für Ransomware-Betreiber am attraktivsten sind, und die Abwehrmaßnahmen entsprechend zu priorisieren.

Eine Fallstudie zu Ransomware-Operationen

Über die Schwachstellen hinaus haben Forscher wie Kela und BushidoToken das operative Spielbuch der Gruppe analysiert. Ein detailliertes Beispiel ist ein Angriff auf ein brasilianisches Unternehmen im Jahr 2023, der mit dem Diebstahl von Anmeldeinformationen über eine Infostealer-Malware begann. Innerhalb von nur zwei Tagen hatte Black Basta das Netzwerk kompromittiert, vertrauliche Daten gestohlen und Ransomware eingesetzt. Die Methoden der Gruppe – erster Zugriff über kompromittierte Anmeldeinformationen, schnelle laterale Bewegung, Datenexfiltration und öffentliche Erpressung – veranschaulichen einen hochentwickelten, industriellen Ansatz zur Cyber-Erpressung.

Diese Erkenntnisse bestätigen, dass Black Basta wie ein gut geöltes Geschäft operiert und Opferprofile mithilfe von Tools wie ZoomInfo erstellt, um die Höhe des Lösegelds und die Drucktaktiken zu ermitteln.

Interne Konflikte und eine Gewissenskrise

Eine der unerwartetsten Enthüllungen aus dem Leck betrifft die menschliche Seite der Angreifer. Während ihres Angriffs auf Ascension Health im Jahr 2024 zeigen Chatnachrichten, dass innerhalb der Gruppe zunehmend Unbehagen herrschte, als die Konsequenzen ihrer Aktionen deutlich wurden.

Angesichts der Möglichkeit, dass Patienten, darunter auch Intensivpatienten, Schaden zugefügt werden könnten, diskutierten die Mitglieder, ob ein kostenloser Entschlüsseler bereitgestellt und gestohlene Daten gelöscht werden sollten. Kommentare von Schlüsselfiguren wie „tinker“ und „gg“ zeigen, dass sie sich sehr bewusst sind, dass die Unterbrechung des Krankenhausbetriebs von Cyberkriminalität zu Terrorismusvorwürfen eskalieren könnte, wenn Menschenleben verloren gehen.

In einem ungewöhnlichen Schritt stellte Black Basta nicht nur einen kostenlosen Entschlüsselungsschlüssel zur Verfügung, sondern löschte angeblich auch die gestohlenen Daten, was auf einen ungewöhnlichen Moment der Selbsterhaltung – oder vielleicht sogar der Moral – hindeutet.

Steht Black Basta vor dem Zusammenbruch?

Angesichts all dieser Turbulenzen spekulieren einige Experten, dass die Gruppe möglicherweise denselben Weg wie Conti verfolgt, die sich nach internen Leaks auflöste und unter neuem Namen wieder auftauchte. Mehrere durchgesickerte Kommentare deuten darauf hin, dass Black Basta aufgrund des zunehmenden Drucks von Seiten der Strafverfolgungsbehörden und der Öffentlichkeit bereits über eine vollständige Umbenennung nachdachte.

Auch wenn es sich derzeit noch um Spekulation handelt, wird die Vorstellung, dass Black Basta irgendwann im Jahr 2025 verschwindet und unter einem anderen Decknamen wieder auftaucht, mit jedem Tag plausibler.

Was das für Verteidiger bedeutet

Bei diesem Leck handelt es sich um mehr als bloß ein Cybercrime-Drama – es handelt sich um verwertbare Geheimdienstinformationen.
Für Sicherheitsteams bietet das Black Basta-Leck:

  • Priorisiertes Patchen von Schwachstellen basierend auf der Ausnutzung in der Praxis.
  • Einblick in Zeitabläufe und Methoden von Angriffen.
  • Verständnis der internen Gruppendynamik, die auf Veränderungen in der Ransomware-Landschaft hinweisen könnte.

Organisationen sollten jetzt handeln und die durch das Leck aufgedeckten CVEs und Fehlkonfigurationen überprüfen, ihre Abwehrmaßnahmen stärken und wachsam bleiben. Auch wenn Black Basta möglicherweise mit internen Problemen zu kämpfen hat, bleibt Ransomware insgesamt eine anhaltende und sich weiterentwickelnde Bedrohung.

Abschließende Gedanken

Das Black Basta-Leck ist sowohl eine Warnung als auch ein strategischer Vorteil für Cybersicherheitsverteidiger. Es bestätigt, dass selbst die raffiniertesten Ransomware-Banden nicht immun gegen interne Konflikte, menschliches Versagen und Aufdeckung sind.

Aber seien Sie unbesorgt: Egal, ob sich Black Basta auflöst, umbenennt oder weitermacht, die in diesen Chats aufgedeckten Methoden und Schwachstellen werden Ransomware-Operationen noch weit über das Jahr 2025 hinaus befeuern.

Die beste Verteidigung sind jetzt Aufmerksamkeit, Vorbereitung und schnelles Handeln.

Bis Zane
March 7, 2025
Computer Security
Deutsch
March 7, 2025
Computer Security

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.