Cyber Security für Unternehmen in Österreich ganzheitlich durchdacht mit HoliSec!
Kontakt

Wie arbeiten Cyberkriminelle?

Christian Gubesch

·

·

Kriminelle- verbildlicht durch einen Kampf von 2 Katzen

Ihr wolltet schon immer wissen, wie Cyberkriminelle wirklich arbeiten? Durch einen umfangreichen Leak interner Chats der berüchtigten Hackergruppe Black Basta erhalten wir seltene und brisante Einblicke in ihre Strukturen, Strategien und Entscheidungsprozesse.

Von der Auswahl der Opfer über ausgeklügelte Erpressungstaktiken bis hin zur Panik nach einem folgenschweren Angriff – die Gespräche zeigen, wie professionell und skrupellos diese Gruppe agiert. Doch sie offenbaren auch Unsicherheiten, interne Konflikte und die ständige Angst vor Strafverfolgung.

Was können wir aus diesen Einblicken lernen? Wie können Unternehmen sich besser schützen? Und welche Konsequenzen hat dieser Leak für die Cybercrime-Szene? Wir fassen die wichtigsten Erkenntnisse zusammen und geben Empfehlungen, um sich gegen solche Angriffe zu wappnen.

Die internen Chat-Protokolle der Black Basta Ransomware-Gruppe, die am 11. Februar 2025 geleakt wurden, bestehen aus fast 200.000 russischsprachigen Nachrichten, die den Zeitraum vom 18. September 2023 bis zum 28. September 2024 umfassen. Diese Protokolle, die von einer Person namens „ExploitWhispers“ veröffentlicht wurden, bieten einen detaillierten Einblick in die Operationen, internen Dynamiken und den letztendlichen Niedergang der Gruppe.

Das Leak ist umfangreich und enthält wertvolle Einblicke in die internen Abläufe der Gruppe, ihre Kollaborateure und Zahlungen. Es gibt zudem zahlreiche Hinweise auf Geschäftsabläufe und mögliche Verbindungen zu Mitgliedern der Gruppe. Dieser Blog wird sich auf einige erste Erkenntnisse aus unserer Analyse des Leaks konzentrieren.

Organisationsstruktur der Black Basta Ransomware-Gruppe

Black Basta ist eine Ransomware-Gruppe, die Anfang 2022 entstand und sich schnell als bedeutende kriminelle Cyber-Operation etablierte. Sie ist bekannt für ihre aggressiven Double-Extortion-Taktiken, bei denen sie die Daten der Opfer verschlüsselt und mit deren Veröffentlichung droht, falls kein Lösegeld gezahlt wird. Die Gruppe zielt hauptsächlich auf große Organisationen in kritischen Sektoren wie Gesundheitswesen, Produktion, Regierung und Finanzdienstleistungen ab und nutzt dabei Sicherheitslücken oder Social Engineering für den Zugriff.

Bedeutende Mitglieder

  • „GG“ (alias „Tramp“)
    • Schlüsselfigur/Anführer der Gruppe. Wird oft als „Boss“ bezeichnet und bei wichtigen Entscheidungen konsultiert. Wahrscheinlich früher mit der Conti-Ransomware-Gruppe verbunden.
  • „YY“ (alias „Bio“)
    • Möglicher Administrator der Gruppe. Delegiert Aufgaben und führt administrative Tätigkeiten aus. Könnte an der Entwicklung der ursprünglichen Ransomware-Tools und Infrastruktur beteiligt gewesen sein.
  • „Lapa“
    • Wahrscheinlich technischer Administrator/Koordinator für andere Mitglieder oder externe Dienstleister.
  • „Tinker“
    • Beteiligt an Spam/Vishing, Datenaufbereitung, Verhandlungen und enger Vertrauter von „GG“. Möglicherweise früher ebenfalls mit Conti verbunden. Hat Verbindungen zu anderen Ransomware-Gruppen/Betreibern.
  • „Nickolas“
    • Enger Mitarbeiter von „GG“ im „talks.icu“-Chat. Nimmt offenbar an Angriffen teil und könnte ein eigenes Team leiten. Liefert oft Einblicke in Cybersicherheits-Trends und Tools, die „GG“ dann an die Gruppe weitergibt.
  • „n3auxaxl“
    • Remote-Entwickler, möglicherweise unterstellt „YY“ oder „NN“. Im Frühjahr 2024 umging „GG“ die Befehlskette und beauftragte „n3auxaxl“ direkt mit der Entwicklung einer völlig neuen Ransomware für 100.000 US-Dollar im Voraus.
  • „Ugway“
    • Technischer Operator, beteiligt an verschiedenen Aspekten der Operation, darunter Angriffsverteilung, Beschaffung von Zugangsdaten, Malware etc.

Dies ist keine vollständige Liste der an der Operation beteiligten Personen. Eine umfassendere Untersuchung ist erforderlich, um die internen Strukturen der Gruppe und ihrer Partner vollständig zu verstehen. Es gibt zudem Chat-Nachrichten im Leak, die darauf hindeuten, dass einige Kernmitglieder der Gruppe möglicherweise physisch im selben Büro arbeiten.

Zielauswahl

Black Basta priorisierte hochkarätige Ziele, insbesondere in Sektoren wie Finanzen, Produktion und Energie. Sie nutzten Open-Source-Intelligence (OSINT)-Tools wie ZoomInfo, LinkedIn und RocketReach, um Unternehmen zu analysieren, ihre Einnahmen einzuschätzen und Schlüsselmitarbeiter für Social-Engineering-Angriffe zu identifizieren. Die Leaks enthüllten 380 einzigartige ZoomInfo-Links, was darauf hindeutet, dass mindestens so viele Unternehmen während des Leak-Zeitraums ins Visier genommen wurden.

Die Chat-Protokolle zeigen auch, dass die Gruppe gegenüber bestimmter Zielen sehr vorsichtig agiert, basierend auf mehreren Faktoren, darunter:

  • Länder, in denen Lösegeldzahlungen gesetzlich verboten sind.
  • Branchen wie das Gesundheitswesen, die politischen und strafrechtlichen Druck auf die Gruppe ausüben könnten.
  • Russland und „Russland freundliche“ Länder.

Im März 2024 teilte der Nutzer Ugway einen ZoomInfo-Link zu einer in Frankreich ansässigen Apotheke (vermutlich, weil er dort einen Zugang hatte). GG, ein Anführer der Gruppe, antwortete darauf mit:
„Wir nehmen die nicht in die Arbeit… Frankreich zahlt nicht.“

Vermutlich bezieht sich dies auf spezifische Gesetze oder Hürden bei der raschen Zahlung von Lösegeldern, sodass diese Ziele gemieden werden (Black Basta hatte zuvor jedoch mehrere Opfer in Frankreich aufgelistet).

Im Mai 2024 gerieten Mitglieder der Gruppe in Panik, nachdem der Angriff auf Ascension breite mediale Aufmerksamkeit erregt hatte. Die Mitglieder versuchten schnell, den Angriff als Fehler darzustellen und ihre anschließenden Handlungen (Entschlüsselung von Systemen etc.) als moralisch gerechtfertigt zu präsentieren.

Bedeutet das, dass Black Basta das Gesundheitswesen generell meidet? Wahrscheinlich nicht.

In einer Verhandlung mit einem Gesundheitsdienstleister stellten sie explizit klar, dass es nicht um die Störung der Dienste, sondern um die Erpressung von Daten ging:

„Wir sind uns der aktuellen Störungen bewusst, von umgeleiteten Krankenwagen bis hin zu abgesagten Operationen. Das war nicht unser Ziel. Unser Ziel waren Daten, die Sie nicht geschützt haben und für die Sie nun bezahlen müssen.“

Zudem wurde GG im Vorfeld des Ascension-Angriffs im November 2023 Zugang zu einer katholischen Gesundheitseinrichtung angeboten und gefragt:

„Stört es dich nicht, dass es eine Kirche ist?“
GG antwortete schlicht:
„Nein.“

Offene Unterhaltungen zwischen bestimmten Mitgliedern zeigen außerdem, dass führende Mitglieder wie GG und Tinker sich der politischen Konsequenzen bewusst sind, die durch hochkarätige Angriffe entstehen können und ihre Fähigkeit, Geld zu verdienen, beeinträchtigen.

Eine lange Nachricht von Tinker am 9. Mai nach dem Ascension-Angriff unterstreicht diese Sensibilität. Er warnte davor, dass der Angriff Vergeltungsmaßnahmen amerikanischer Behörden auslösen könnte, die ihre Systeme lahmlegen. Zudem könnten sie sanktioniert werden, wodurch sie keine Lösegeldzahlungen mehr erhalten könnten.

Misstrauen und Paranoia unter den Mitgliedern schüren, wodurch sie gezwungen sind, mehr Ressourcen aufzuwenden und sich gegenseitig zu hintergehen.

Erpressungs- und Verhandlungstaktiken

Black Basta ist eine sogenannte Double-Extortion-Gruppe, die sowohl Systeme verschlüsselt als auch Daten stiehlt, um mit deren Veröffentlichung zu drohen, falls keine Lösegeldzahlungen geleistet werden. Die geleakten Chats enthüllen das Anrufskript der Gruppe, das genutzt wird, um betroffene Unternehmen zu kontaktieren und sie unter Druck zu setzen.

Das Skript ist auf Englisch verfasst, mit russischen Kommentaren, die Anweisungen für spezifische Szenarien enthalten (fett hervorgehoben und unten übersetzt):

Hallo, mein Name ist Eric,
ich rufe von der BlackBasta-Gruppe wegen des jüngsten Cyber-Sicherheitsvorfalls in Ihrem Unternehmen an. Können Sie mich mit Ihrer Geschäftsleitung verbinden?

Falls sie mich verbinden:
Unser Name ist BlackBasta Syndicate, und wir sind die größte, fortschrittlichste und aktivste organisierte Gruppe, die derzeit existiert. Wir sind die ultimative Cyber-Tradition mit einer Erfolgsbilanz, die selbst die fortschrittlichsten, hochkarätigsten und bestgeschützten Unternehmen zu Fall bringt. Sie können uns später googeln – was Sie jetzt wissen müssen, ist, dass wir Geschäftsleute sind, genau wie Sie.

Wir haben Ihre Daten und Ihre Dateien verschlüsselt, aber in weniger als einer Stunde können wir alles wieder in Ordnung bringen: Wenn Sie für unsere Wiederherstellungsdienste zahlen, erhalten Sie einen Entschlüsseler, die Daten werden von all unseren Systemen gelöscht und Ihnen zurückgegeben, und wir liefern Ihnen einen Sicherheitsbericht, der erklärt, wie wir in Ihr System eingedrungen sind.

Wir haben versucht, Ihr Team zu erreichen, aber ich muss direkt mit der Geschäftsleitung sprechen. Dies ist dringend und betrifft die kritischen Daten, die wir entwendet haben. Wissen Sie, dass derzeit ein Datenschutzverstoß stattfindet?

Falls ja:
Wenn wir Ihre Daten veröffentlichen, werden nicht nur alle laufenden Kunden- und Geschäftsaktivitäten offengelegt, die Sie vertraulich behandeln müssen, sondern es wird höchstwahrscheinlich eine Sammelklage gegen Sie eingeleitet. Deshalb ist es wichtig, dass ich direkt mit Ihnen spreche, da wir hoffen, dass die Geschäftsleitung über genügend Fachwissen verfügt, um diese Risiken zu bewältigen.

Falls sie mich nicht mit der Geschäftsleitung verbinden, verlange ich stattdessen die IT- oder Finanzabteilung. In jedem Fall muss ich den Namen der Person auf der anderen Seite notieren, falls sie sich vorstellt.

Falls sie argumentieren, dass sie mich nicht verbinden können:
Ihre Geschäftsleitung ist am besten dafür geeignet, mit dieser Angelegenheit umzugehen. Wenn Sie mich nicht verbinden, werde ich sie direkt anrufen. Wir haben die Privat- und Mobilnummern Ihres Finanzdirektors. Wir werden ihn und andere Manager anrufen, bis sie antworten, und ich werde sicherstellen, dass sie Ihren Namen erfahren und dass Sie es waren, der die Verbindung nicht hergestellt hat – in einer zivilisierten, formalen Weise.

Falls sie behaupten, nichts von dem Vorfall zu wissen:
Wir haben Ihre Daten und sind bereit, sie zu veröffentlichen. Alle – Finanzdokumente, Kundendaten, laufende Fälle. Wir haben versucht, eine ordentliche Konversation in unserem Chat zu führen, aber Sie haben sie ins Leere laufen lassen. Ich möchte nochmals betonen, dass wir genug Informationen über Sie haben, um Ihr Unternehmen zur Auflösung zu zwingen, falls wir die Daten veröffentlichen.

Sieben Punkte, die übermittelt werden müssen:
  1. Kehren Sie in den Chat zurück und beginnen Sie eine ernsthafte Verhandlung mit uns.
  2. Sagen Sie uns NICHT, dass Sie nicht zahlen können. Wir haben Ihre Finanzdaten eingesehen. Sie KÖNNEN zahlen. Sie müssen Opfer bringen, aber es ist absolut möglich. Sie wissen das, da Sie die Finanzunterlagen verwalten.
  3. Hören Sie auf, diese Situation als Scherz zu behandeln und sie an einen beauftragten Verhandlungsführer zu delegieren – setzen Sie sich selbst oder andere Partner an den Tisch. Unser Chat ist ein einfacher Firefox-basierter Messenger. Die einzige Fähigkeit, die Sie benötigen, ist grundlegende Englischkenntnis. Es gibt keinen Grund, dass eine zufällig engagierte Person die Verhandlungen für Sie führt.
  4. Falls Sie uns weiter ignorieren, werden wir Sie und Ihre Kollegen direkt anrufen. Wir werden den obersten Rat kontaktieren. Wir werden persönliche Daten gegen Sie verwenden. Dies ist keine Drohung – meine Vorgesetzten haben mich lediglich gebeten, Sie über unser weiteres Vorgehen zu informieren.
  5. Wir haben weitere Druckmittel. Fragen Sie Ihren beauftragten Verhandlungsführer oder setzen Sie sich selbst damit auseinander.
  6. Es gibt keinen Weg, sich dieser Situation zu entziehen – Sie sind bereits mittendrin. Zeit, dies zu akzeptieren.
  7. Meine Vorgesetzten betonen, dass sie nicht versuchen, Sie zu bedrohen oder einzuschüchtern. Der angewandte Druck ist lediglich eine Reaktion darauf, dass Sie – nicht Sie persönlich, sondern Ihr Unternehmen – versuchen, sich der Situation zu entziehen und einen externen Verhandler einzuschalten. Sie wünschen sich eine ehrliche und gleichberechtigte Diskussion auf Basis gegenseitigen Respekts. Deshalb, wenn Sie uns respektlos behandeln und das Niveau der Diskussion herabsetzen, werden wir dasselbe tun.

Das Ziel des Anrufskripts ist es, eine direkte Verbindung zur Geschäftsleitung herzustellen und nach Möglichkeit Drittanbieter für Incident Response (IR) oder Lösegeldverhandlungen zu umgehen. Die Behauptung, dass das Lösegeld basierend auf den Finanzunterlagen des Opfers festgelegt wird, wird durch andere interne Chats gestützt.

Ein Beispiel hierfür findet sich in einer Unterhaltung vom Januar 2024 über laufende Erpressungsverhandlungen. GG wies „Tinker“ an, die Finanzdaten des Opfers zu analysieren und diese in den Verhandlungschat zu stellen. GG betonte, dass „alles mit soliden Argumenten und Klarheit untermauert werden muss“, bevor er Tinker anwies, eine mehrstellige Millionensumme als Lösegeld zu fordern.

Die Chats zeigen auch interne Überlegungen zur Verhandlungsstrategie. Die Gruppe scheint flexibel zu sein und ist bereit, Fristen zu verlängern oder über Zahlungskonditionen zu verhandeln.

Für betroffene Unternehmen ist es entscheidend, sich ein genaues Bild vom Umfang des Einbruchs und des anschließenden Datendiebstahls zu machen, um sich einen Vorteil in den Verhandlungen zu verschaffen. Auffällig ist, dass die Chat-Protokolle zeigen, dass GG die endgültige Entscheidung in den Verhandlungen trifft, was seine führende Rolle innerhalb der Gruppe weiter bestätigt.

Abschließende Gedanken und Empfehlungen

Die geleakten Black-Basta-Chats bieten seltene Einblicke in die internen Abläufe einer bedeutenden Ransomware-Operation. Dieser Blog kratzt nur an der Oberfläche – es gibt noch viele weitere Erkenntnisse und Hinweise, die von Forschern und Strafverfolgungsbehörden weiter untersucht werden sollten.

Doch wie sollten wir als Unternehmen darüber nachdenken? Eine der wichtigsten Erkenntnisse aus diesem Leak ist die Agilität, mit der die Gruppe neue Techniken operationalisiert.

Mitglieder durchforsten aktiv Foren und Open-Source-Cybersicherheitsforschung nach neuen Angriffsmethoden, um diese entweder selbst zu übernehmen oder entsprechende Fähigkeiten von Partnern oder Anbietern zu erwerben.

Insgesamt scheint die Gruppe vor allem leicht ausnutzbare Sicherheitslücken zu verwenden. Gegen Ende des Leaks wird jedoch deutlich, dass der Fokus zunehmend auf Social-Engineering-Techniken liegt.

Empfehlungen für Unternehmen:

  • Patch-Management priorisieren: Da Black Basta häufig bekannte Schwachstellen ausnutzt, sind regelmäßige und zeitnahe Sicherheitsupdates essenziell.
  • Mitarbeiterschulungen intensivieren: Social Engineering spielt eine immer größere Rolle. Unternehmen sollten gezielte Trainings zu Phishing- und Betrugsversuchen durchführen.
  • Bedrohungsaufklärung (Threat Intelligence) nutzen: Angreifer beobachten Sicherheitsforschung – Verteidiger sollten das ebenfalls tun, um proaktiv Gegenmaßnahmen zu entwickeln.
  • Multi-Faktor-Authentifizierung (MFA) durchsetzen: Dies erschwert den Zugriff auf kompromittierte Konten erheblich.
  • Umfassende Protokollierung und Überwachung etablieren: Frühzeitige Erkennung verdächtiger Aktivitäten kann Angriffe stoppen, bevor sie eskalieren.

Der Leak zeigt, dass Ransomware-Gruppen nicht nur technisch versiert, sondern auch äußerst anpassungsfähig sind. Ein proaktiver, mehrschichtiger Sicherheitsansatz bleibt der beste Schutz gegen diese Bedrohungen.

Du würdest gern wissen, ob du vor Hackern geschützt bist?

Kontaktiere uns und wir machen einen Check!

Kontakt

Quellen 🔗

  1. Primärquellen (Leaked Chat-Logs & Analysen)
    • Originaler Leak der Black Basta Chats (Telegram gruppe – shopotbasta)
    • Sicherheitsforscher & Threat Intelligence Blogs (z. B. vx-underground, Hudson Rock, MalwareHunterTeam)
  2. Cybersecurity-Analysen & Berichterstattung
    • Bleeping Computerwww.bleepingcomputer.com
      • Berichte über Ransomware-Gruppen, aktuelle Angriffe & Sicherheitslücken
    • Krebs on Securitywww.krebsonsecurity.com
      • Investigativer Journalismus zu Cyberkriminalität
    • The Record by Recorded Futuretherecord.media
      • Detaillierte Analysen zu Cybercrime-Gruppen und Bedrohungen
    • SecurityWeekwww.securityweek.com
      • News & Analysen über Cyberangriffe, Ransomware & Strafverfolgung
  3. Sicherheitsexperten & Organisationen
    • Europol EC3 (European Cybercrime Centre)www.europol.europa.eu
      • Berichte zu internationalen Strafverfolgungsmaßnahmen gegen Cybercrime
    • CISA (Cybersecurity & Infrastructure Security Agency, USA)www.cisa.gov
      • Offizielle Sicherheitsempfehlungen und Berichte zu Cyberbedrohungen
    • MITRE ATT&CKattack.mitre.org
      • Dokumentation von Angriffsvektoren und Taktiken von Cybercrime-Gruppen
  4. Forensik & Incident Response Reports
, ,

Christian Gubesch

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert