En massiv svart Basta-läcka avslöjar insidan av en Ransomware-jätte

I en sällsynt och häpnadsväckande utveckling har en mängd interna chattloggar från Black Basta ransomware-gänget läckt ut online, och erbjuder en aldrig tidigare skådad titt bakom kulisserna för en av de farligaste cyberkriminella organisationerna som är verksamma idag. Läckan jämförs redan med de ökända Conti-läckorna i början av 2022, som avslöjade den interna verksamheten hos ett annat ökänt ransomware-syndikat.

Den här senaste avslöjandet, som avslöjades offentligt den 20 februari 2025, kommer från en whistleblower känd som ExploitWhispers, som enligt uppgift släppte en 47 MB JSON-fil innehållande över 200 000 chattmeddelanden utbytta av Black Basta-medlemmar. Chattarna täcker ett helt års aktivitet, från september 2023 till september 2024, och analyseras nu noggrant av cybersäkerhetsforskare världen över.

Varför exponerades Black Basta?

Enligt meddelanden som delas med läckan kan motivationen för exponeringen härröra från Black Bastas beslut att rikta in sig på ryska banker – ett drag som i en värld av rysktalande cyberbrottslighet ofta anses vara ett oförlåtligt misstag. Om korrekt, skulle detta förklara varför en insider beslutat att läcka så känsligt material.

Dessutom noterar hotintelligensföretaget Prodaft att Black Basta har varit mestadels inaktiv sedan början av 2025, påstås på grund av interna tvister. Med kaos på väg bakom kulisserna lägger läckan till ytterligare ett lager av osäkerhet om gruppens framtid.

Vad de läckta chattarna avslöjar

Läckan är inte bara en fascinerande inblick i Black Bastas operatörers personligheter och pratstunder – det är en plan för hur gänget sköter sina attacker, väljer ut mål och utnyttjar sårbarheter.

Säkerhetsföretagen VulnCheck och Qualys har redan publicerat tidiga rön och nollställt de tekniska detaljerna som finns begravda i loggarna. Enligt VulnChecks analys nämner chattarna 62 unika CVE:er (Common Vulnerabilities and Exposures), med några som diskuteras inom några dagar efter att de offentliggjordes och några till och med innan de officiellt publicerades.

Mer oroväckande är att loggarna tyder på att Black Basta inte bara förlitar sig på allmänt kända bedrifter. Det finns tydliga bevis för att gruppen har resurserna att utveckla nya exploateringar och har diskuterat att köpa exklusiva sårbarheter från andra hotaktörer.

Qualys har gått ett steg längre och sammanställt en prioriteringslista för försvarare, inklusive:

  • Topp 20 CVE:er som kräver omedelbar patchning.
  • Topp 10 felkonfigurationer som ofta utnyttjas av Black Basta.
  • En komplett bilaga med alla sårbarheter som nämns i läckan.

För säkerhetsteam ger denna läcka en sällsynt möjlighet att förstå exakt vilka svaga punkter som är mest attraktiva för ransomware-operatörer och prioritera försvar därefter.

En fallstudie i Ransomware Operations

Utöver sårbarheter har forskare som Kela och BushidoToken analyserat gruppens operativa spelbok. Ett detaljerat exempel involverar en attack 2023 på ett brasilianskt företag, som började med inloggningsuppgifter som stulits via infostealer malware. Inom bara två dagar hade Black Basta äventyrat nätverket, stulit känslig data och distribuerat ransomware. Gruppens metoder – initial åtkomst genom komprometterade referenser, snabb rörelse i sidled, dataexfiltrering och offentlig utpressning – illustrerar ett mycket raffinerat tillvägagångssätt i industriell skala för cyberutpressning.

Dessa insikter bekräftar att Black Basta fungerar som en väloljad verksamhet och profilerar offer med hjälp av verktyg som ZoomInfo för att bedöma lösensummor och presstaktik.

Intern konflikt och en samvetskris

En av de mest oväntade avslöjandena från läckan är den mänskliga sidan av angriparna. Under deras attack 2024 på Ascension Health avslöjar chattmeddelanden växande obehag inom gruppen när konsekvenserna av deras handlingar blev tydliga.

Med tanke på möjligheten att skada patienter, inklusive akutvårdsfall, diskuterade medlemmarna om de skulle tillhandahålla en gratis dekryptering och radera stulen data. Kommentarer från nyckelpersoner som "tinker" och "gg" visar en akut medvetenhet om att dödandet av ett sjukhuss verksamhet kan eskalera från cyberbrottslighet till terroranklagelser om liv gick förlorade.

I ett sällsynt drag tillhandahöll Black Basta inte bara en gratis dekrypteringsnyckel utan påstods också ha raderat stulna data, vilket signalerade ett ovanligt ögonblick av självbevarelsedrift – eller kanske till och med moral.

Är Black Basta på randen av kollaps?

Med all denna turbulens spekulerar vissa experter att gruppen kan följa samma väg som Conti, som upplöstes efter sina egna interna läckor och återuppstod under nya namn. Flera läckta kommentarer tyder på att Black Basta redan övervägde ett helt nytt varumärke på grund av tilltagande värme från brottsbekämpande myndigheter och allmänheten.

Även om det förblir spekulationer för tillfället, blir idén om att Black Basta försvinner och återuppstår under ett annat alias någon gång under 2025 mer rimlig för varje dag som går.

Vad detta betyder för försvarare

Denna läcka är mer än bara cyberbrottsdrama – det är handlingsbar intelligens.
För säkerhetsteam erbjuder Black Basta-läckan:

  • Prioriterad sårbarhetskorrigering baserad på verklig exploatering.
  • Insikt i attackens tidslinjer och metoder.
  • Förståelse för intern gruppdynamik som kan signalera förändringar i ransomware-landskapet.

Organisationer bör agera nu för att granska CVE och felkonfigurationer som exponeras i läckan, stärka försvaret och vara vaksamma. Även om Black Basta kan stå inför interna strider, förblir ransomware som helhet ett bestående och utvecklande hot.

Slutliga tankar

Black Basta-läckan är både en varnande berättelse och en strategisk fördel för cybersäkerhetsförsvarare. Det bekräftar att även de mest sofistikerade ransomware-gängen inte är immuna mot interna konflikter, mänskliga fel och exponering.

Men gör inga misstag – oavsett om Black Basta upplöses, ändrar varumärken eller fortsätter, kommer metoderna och sårbarheterna som avslöjas i dessa chattar att underblåsa ransomware-operationer långt efter 2025.

Det bästa försvaret nu är medvetenhet, förberedelser och snabb handling.

År Zane
March 7, 2025
Computer Security
Svenska
March 7, 2025
Computer Security

Populära inlägg

Vad är OperaGXSetup.exe-filen och är den skadlig?

11 months sedan

Eporner.com och varför dess överdrivna popup-fönster är riskabla

12 days sedan

Notera: Någon har lagt till dig som sin e-postbedrägeri för...

10 months sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

7 months sedan

Ett potentiellt allvarligt hot: Trojan:Win32/Suschil!rfn

19 days sedan

Vad är hotet om den trojanska hästen från Packunwan och hur...

11 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.