MÜNCHEN (IT BOLTWISE) – Ein kürzlich erfolgter Leak von Chatprotokollen der Ransomware-Gruppe Black Basta hat Einblicke in deren interne Konflikte und finanzielle Erträge offenbart.
- Die besten Bücher rund um KI & Robotik
präsentiert von Amazon! - Unsere täglichen KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facy oder Insta als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die Veröffentlichung von über einem Jahr interner Chatprotokolle der Ransomware-Gruppe Black Basta hat die Cybersecurity-Welt in Aufruhr versetzt. Diese Protokolle, die auf der russischsprachigen Matrix-Messaging-Plattform zwischen dem 18. September 2023 und dem 28. September 2024 geführt wurden, wurden am 11. Februar 2025 von einer anonymen Quelle mit dem Pseudonym ExploitWhispers geleakt. Der Grund für den Leak war angeblich die gezielte Attacke der Gruppe auf russische Banken. Die Identität des Leakers bleibt unbekannt. Black Basta, das erstmals im April 2022 in Erscheinung trat, nutzte das mittlerweile weitgehend obsolet gewordene QakBot als Verbreitungsvehikel. Laut einem im Mai 2024 von der US-Regierung veröffentlichten Bericht hat die Gruppe über 500 private Unternehmen und kritische Infrastrukturen in Nordamerika, Europa und Australien ins Visier genommen. Schätzungen von Elliptic und Corvus Insurance zufolge hat die Gruppe bis Ende 2023 mindestens 107 Millionen US-Dollar in Bitcoin-Lösegeldzahlungen von über 90 Opfern eingenommen. Die Schweizer Cybersecurity-Firma PRODAFT berichtet, dass die Gruppe, die auch als Vengeful Mantis bekannt ist, seit Jahresbeginn aufgrund interner Konflikte weitgehend inaktiv ist. Einige ihrer Operatoren sollen Opfer betrogen haben, indem sie Lösegeldzahlungen entgegennahmen, ohne einen funktionierenden Decryptor bereitzustellen. Schlüsselmitglieder der russisch verbundenen Cybercrime-Syndikate sollen zur CACTUS- und Akira-Ransomware-Operation übergelaufen sein. Der interne Konflikt wurde von ‘Tramp’ (LARVA-18) angeheizt, einem bekannten Bedrohungsakteur, der ein Spam-Netzwerk betreibt, das für die Verbreitung von QBot verantwortlich ist. Laut PRODAFT spielte seine Rolle eine wesentliche Rolle bei der Instabilität der Gruppe. Zu den bemerkenswerten Aspekten des Leaks, das fast 200.000 Nachrichten enthält, gehören: Lapa, einer der Hauptadministratoren von Black Basta, ist in administrative Aufgaben involviert; Cortes ist mit der QakBot-Gruppe verbunden, die sich nach den Angriffen von Black Basta auf russische Banken distanzieren wollte; YY ist ein weiterer Administrator von Black Basta, der in Support-Aufgaben involviert ist; Trump ist eines der Pseudonyme für ‘den Hauptboss der Gruppe’, Oleg Nefedov, der auch unter den Namen GG und AA bekannt ist. Trump und eine weitere Person, Bio, arbeiteten zusammen in dem mittlerweile aufgelösten Conti-Ransomware-Schema. Einer der Black Basta-Affiliates soll minderjährig sein, im Alter von 17 Jahren. Black Basta hat begonnen, Social Engineering aktiv in ihre Angriffe zu integrieren, inspiriert durch den Erfolg von Scattered Spider. Laut Qualys nutzt die Black Basta-Gruppe bekannte Schwachstellen, Fehlkonfigurationen und unzureichende Sicherheitskontrollen, um sich anfänglichen Zugang zu Zielnetzwerken zu verschaffen. Die Diskussionen zeigen, dass SMB-Fehlkonfigurationen, exponierte RDP-Server und schwache Authentifizierungsmechanismen routinemäßig ausgenutzt werden, oft unter Verwendung von Standard-VPN-Anmeldedaten oder Brute-Force-Angriffen auf gestohlene Anmeldedaten. Ein weiterer wichtiger Angriffsvektor beinhaltet die Bereitstellung von Malware-Droppern zur Auslieferung der bösartigen Nutzlasten. Um der Erkennung zu entgehen, hat die E-Crime-Gruppe legitime File-Sharing-Plattformen wie transfer.sh, temp.sh und send.vis.ee genutzt, um die Nutzlasten zu hosten. ‘Ransomware-Gruppen nehmen sich nicht mehr die Zeit, sobald sie in das Netzwerk einer Organisation eingedrungen sind’, sagte Saeed Abbasi, Manager of Product bei Qualys Threat Research Unit (TRU). ‘Kürzlich geleakte Daten von Black Basta zeigen, dass sie sich innerhalb von Stunden – manchmal sogar Minuten – vom anfänglichen Zugang zur netzwerkweiten Kompromittierung bewegen.’ Die Enthüllung kommt zu einem Zeitpunkt, an dem das Cyberint Research Team von Check Point bekannt gegeben hat, dass die Cl0p-Ransomware-Gruppe wieder damit begonnen hat, Organisationen ins Visier zu nehmen und diese auf ihrer Datenleak-Website aufzulisten, nachdem eine kürzlich bekannt gewordene Sicherheitslücke (CVE-2024-50623) in der Cleo Managed File Transfer Software ausgenutzt wurde. ‘Cl0p kontaktiert diese Unternehmen direkt, bietet sichere Chat-Links für Verhandlungen und E-Mail-Adressen für Opfer, um Kontakt aufzunehmen’, sagte das Unternehmen in einem Update, das letzte Woche veröffentlicht wurde. ‘Die Gruppe warnte, dass, wenn die Unternehmen sie weiterhin ignorieren, ihre vollständigen Namen innerhalb von 48 Stunden offengelegt werden.’ Diese Entwicklung folgt auf eine Warnung der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) über eine Welle von Datenexfiltrationen und Ransomware-Angriffen, die von den Ghost-Akteuren orchestriert wurden und Organisationen in über 70 Ländern, einschließlich China, ins Visier nehmen. Die Gruppe wurde dabei beobachtet, wie sie ihre Ransomware-Executable-Nutzlasten rotiert, Dateierweiterungen für verschlüsselte Dateien wechselt und den Text der Lösegeldforderung modifiziert, was dazu führt, dass die Gruppe unter anderen Namen wie Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada und Rapture bekannt ist. ‘Seit Anfang 2021 haben Ghost-Akteure begonnen, Opfer anzugreifen, deren internetfähige Dienste veraltete Versionen von Software und Firmware betrieben’, sagte die Agentur. ‘Ghost-Akteure, die in China ansässig sind, führen diese weit verbreiteten Angriffe zum finanziellen Gewinn durch. Betroffene Opfer umfassen kritische Infrastrukturen, Schulen und Universitäten, Gesundheitswesen, Regierungsnetzwerke, religiöse Institutionen, Technologie- und Fertigungsunternehmen sowie zahlreiche kleine und mittelständische Unternehmen.’ Ghost ist bekannt dafür, öffentlich zugänglichen Code zu verwenden, um internetfähige Systeme auszunutzen, indem sie verschiedene Schwachstellen in Adobe ColdFusion (CVE-2009-3960, CVE-2010-2861), Fortinet FortiOS-Appliances (CVE-2018-13379) und Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207, auch bekannt als ProxyShell) ausnutzen. Eine erfolgreiche Ausnutzung wird gefolgt von der Bereitstellung einer Web-Shell, die dann genutzt wird, um das Cobalt Strike Framework herunterzuladen und auszuführen. Die Bedrohungsakteure wurden auch dabei beobachtet, eine Vielzahl von Tools wie Mimikatz und BadPotato für die Ernte von Anmeldedaten und die Eskalation von Privilegien zu verwenden. ‘Ghost-Akteure nutzten erhöhte Zugriffsrechte und die Windows Management Instrumentation Command-Line (WMIC), um PowerShell-Befehle auf zusätzlichen Systemen im Opfernnetzwerk auszuführen – oft mit dem Ziel, zusätzliche Cobalt Strike Beacon-Infektionen zu initiieren’, sagte CISA. ‘In Fällen, in denen Versuche zur lateralen Bewegung erfolglos sind, wurde beobachtet, dass Ghost-Akteure einen Angriff auf ein Opfer aufgeben.’
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Leaked Black Basta Chat Logs Reveal Internal Conflicts and Ransom Earnings" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.