Eine Sammlung von Chat-Protokollen, die angeblich zur Black Basta-Ransomware-Gruppe gehören, ist online durchgesickert und enthüllt wichtige Mitglieder der bekannten russisch verbundenen Gang.
Die Chat-Protokolle, die über 200.000 Nachrichten umfassen und von September 18, 2023, bis September 28, 2024 reichen, wurden von einem Leak an das Bedrohungsabwehrunternehmen Prodaft weitergegeben. Das Cybersicherheitsunternehmen sagt, dass das Leck im Zusammenhang mit einem „internen Konflikt“ innerhalb der Black Basta-Gruppe steht, als einige Mitglieder angeblich ihren Opfern trotz Bezahlung einer Lösegeldforderung keine funktionsfähigen Entschlüsselungstools zur Verfügung stellten.
Es ist noch nicht bekannt, ob der Leaker, der sich auf Telegram mit dem Alias „ExploitWhispers“ meldet, ein Mitglied der Black Basta-Bande war.
Black Basta ist eine produktive russischsprachige Ransomware-Gang, die von der US-Regierung mit Hunderten von Angriffen auf kritische Infrastruktur und globale Unternehmen in Verbindung gebracht wurde. Zu den öffentlich bekannten Opfern gehören US-Gesundheitsorganisation Ascension, britisches Versorgungsunternehmen Southern Water und der britische Outsourcing-Riese Capita. Die geleakten Chat-Protokolle geben einen bisher ungekannten Einblick in die Ransomware-Gang, einschließlich einiger ihrer unveröffentlichten Ziele.
Laut einem Beitrag auf X von Prodaft sagte der Leaker, dass die Hacker „die Grenze überschritten haben“, indem sie russische Inlandsbanken ins Visier genommen haben.
„Also sind wir entschlossen, die Wahrheit aufzudecken und Black Bastas nächste Schritte zu untersuchen“, schrieb der Leaker.
Zielpersonen, Exploits und ein jugendlicher Hacker
TechCrunch hat eine Kopie der Hacker-Chat-Protokolle von Prodaft erhalten, die Details über wichtige Mitglieder der Ransomware-Gruppe enthalten.
Diese Mitglieder umfassen „YY“ (Black Bastas Hauptadministrator); „Lapa“ (ein weiterer wichtiger Anführer von Black Basta); „Cortes“ (ein Hacker, der mit dem Qakbot-Botnetz verbunden ist); und „Trump“ (auch bekannt als „AA“ und „GG“).
Der Hacker „Trump“ wird angenommen, dass er ein Alias ist, den Oleg Nefedovaka verwendet, den Prodaft-Forscher als „den Hauptboss der Gruppe“ beschreiben. Die Forscher verbanden Nefedovaka mit der mittlerweile aufgelösten Conti-Ransomware-Gruppe, die sich bald nach dem Leck ihrer internen Chat-Protokolle auflöste, nachdem die Gruppe ihre Unterstützung für die russische vollumfängliche Invasion der Ukraine im Jahr 2022 erklärt hatte.
Die geleakten Chat-Protokolle von Black Basta zitieren auch ein Mitglied, das sagt, dass es 17 Jahre alt ist, wie TechCrunch gesehen hat.
Nach unserer Zählung enthalten die geleakten Chats 380 eindeutige Links zu Unternehmensinformationen, die auf ZoomInfo gehostet werden, einem Datenmakler, der Zugriff auf Unternehmen und deren Mitarbeiter sammelt und verkauft, was die Chat-Protokolle zeigen, dass die Hacker verwendeten, um die Unternehmen zu recherchieren, die sie ins Visier nahmen. Die Links geben auch eine Vorstellung davon, wie viele Organisationen von der Bande während des 12-monatigen Zeitraums ins Visier genommen wurden.
Die Chat-Protokolle geben auch bisher ungekannte Einblicke in die Betriebsabläufe der Gruppe. Die Nachrichten enthalten Details über die Opfer von Black Basta, Kopien von Phishing-Vorlagen, die bei ihren Cyberangriffen verwendet wurden, einige der von der Bande genutzten Exploits, Kryptowährungsadressen, die mit Lösegeldzahlungen verbunden sind, sowie Details zu Lösegeldforderungen und Verhandlungen der Opfer mit gehackten Organisationen.
Wir fanden auch Chat-Protokolle der Hacker, die einen TechCrunch-Artikel diskutierten über fortgesetzte Qakbot-Aktivitäten, trotz einer früheren FBI-Operation zur Abschaltung des berüchtigten Botnetzes.
TechCrunch fand auch Chat-Protokolle, die mehrere zuvor unbekannte gezielte Organisationen benannten. Dies umfasst das gescheiterte US-Automobilunternehmen Fisker; den Gesundheitstechnologieanbieter Cerner Corp., der jetzt im Besitz von Oracle ist; und das in Großbritannien ansässige Reiseunternehmen Hotelplan. Es ist noch nicht bekannt, ob die Unternehmen gehackt wurden, und keines der Unternehmen hat auf Anfragen von TechCrunch geantwortet.
Die Chat-Protokolle scheinen die Bemühungen der Gruppe bei der Ausnutzung von Sicherheitslücken in Unternehmensnetzwerkgeräten zu zeigen, wie Router und Firewalls, die am Rand eines Unternehmensnetzwerks sitzen und als digitale Torwächter fungieren.
Die Hacker prahlten mit ihrer Fähigkeit, Schwachstellen in Citrix-Fernzugriffsprodukten auszunutzen, um in mindestens zwei Firmennetzwerke einzudringen. Die Bande sprach auch über die Ausnutzung von Schwachstellen in Ivanti, Palo Alto Networks und Fortinet-Software, um Cyberangriffe durchzuführen.
Ein Gespräch zwischen Black Basta-Mitgliedern deutete auch darauf hin, dass sich einige Mitglieder der Gruppe Sorgen machten, von den russischen Behörden wegen geopolitischem Druck untersucht zu werden. Während Russland lange Zeit ein sicherer Hafen für Ransomware-Banden war, war Black Basta auch besorgt über Maßnahmen der US-Regierung.
Nachrichten, die nach dem Einbruch der Systeme von Ascension durch die Gruppe gesendet wurden, warnten davor, dass das FBI und das CISA „100% verpflichtet“ seien, sich zu engagieren, und könnten dazu führen, dass die Behörden „eine harte Haltung gegenüber Black Basta einnehmen“.
Die Dark Web-Leak-Site von Black Basta, die sie öffentlich zur Erpressung von Opfern nutzt, um der Gang eine Lösegeldforderung zu zahlen, war zum Zeitpunkt der Veröffentlichung offline.
