- Die russischsprachige Ransomware-Gruppe Black Basta befindet sich nach behördlichen Interventionen und einem Datenleck in einer Flaute, könnte aber in neuer Form zurückkehren. Ihre Taktik der doppelten Erpressung hat zu Angriffen auf über 500 Organisationen weltweit geführt. Ein im Jahr 2023 erfolgter Schlag gegen die “Qakbot” Botnetz-Infrastruktur hat Black Basta erheblich geschwächt. Trotz Rückschlägen bleibt Black Bastas Kernkompetenz in Verschlüsselungstechniken und sozialen Manipulationen gefürchtet. Es gibt Hinweise, dass Mitglieder von Black Basta in anderen kriminellen Gruppen wie “BlackSuit” und “Lynx” aufgetaucht sind.
Die Hierarchie der Ransomware-Gruppen verändert sich unentwegt, wobei die aggressivsten und rücksichtslosesten Akteure oftmals prächtige Beute aus vernachlässigten Zielsystemen ziehen, nur um letztlich zu scheitern. Die russischsprachige Gruppierung Black Basta, die sich in den letzten Monaten nach behördlichen Interventionen und einem bedeutenden Datendurchbruch in einer Flaute befindet, illustriert diesen Verlauf. Es herrscht jedoch kein Anlass zur Annahme, dass die hinter Black Basta agierenden Parteien vollständig von der Bildfläche verschwunden sind. Vielmehr warnt die Forschergemeinschaft vor einem Wiederauftauchen der Akteure in neuen kriminellen Cybergruppierungen oder sogar vor einer schnellen Rückkehr in neuer Erscheinungsform.
Die Umgestaltung von Black Basta
Seit ihrem Auftauchen im April 2022 hat Black Basta durch Angriffe auf eine Vielzahl von Unternehmensopfern aus dem Gesundheitswesen, der kritischen Infrastruktur und anderen sensiblen Branchen hunderte Millionen Dollar generiert. Ihre Taktik der doppelten Erpressung – das drohende Veröffentlichen gestohlener Daten sowie die Verschlüsselung der Systeme der Opfer, um Lösegeldforderungen durchzusetzen – stellt ein mürbes, aber fortdauerndes Problem für viele Organisationen dar. Die US-amerikanische Cybersecurity and Infrastructure Security Agency berichtete im letzten Jahr von einer Serie von Angriffen der Gruppe auf über 500 Organisationen in Nordamerika, Europa und Australien. Ein bedeutender Schlag gegen die “Qakbot” Botnetz-Infrastruktur im Jahr 2023 setzte Black Basta jedoch erheblich zu. Ebenso brachte ein im Februar erfolgtes Datenleck über die internen Abläufe der Gruppe einigen Schaden.
Die versteckten Asse der Cyberkriminalität
Während diese Niederlagen Black Basta zum Ruhen brachten, bleibt die Gefahr einer erneuten Aktivierung der Beteiligten bestehen. “Wir haben die Anführer von Black Basta nicht neu gruppiert gesehen, aber es steht außer Frage, dass sie weiterhin operieren werden”, konstatiert Allan Liska, ein auf Ransomware spezialisierter Analyst von Recorded Future. Ein wesentlicher Teil der group-internen Kommunikation, inklusive der entlarvenden Details zu Black Bastas Malware-Kompetenzen, Konflikten und Identitäten, wurde durch das Datenleck offenbart, insbesondere von ihrem Hauptadministrator. Diese Offenbarungen datieren aus einer Phase, die als Hochphase der Gruppe betrachtet werden kann – nämlich von September 2023 bis September 2024. In dieser Zeit schreckte die Gruppe nicht davor zurück, erhebliche Schäden durch ihre Angriffe zu riskieren. Ein berüchtigter Angriff auf das im Gesundheitsnetzwerk Ascension in St. Louis ansässige Krankenhaus etwa führte zu signifikanten Störungen, einschließlich der Umleitung von Ambulanzen.
Neue Wege im Cyberspace
Nachdem sie durch Operation Duck Hunt schwer getroffen worden waren, strebte Black Basta danach, neue Botnetze zu nutzen oder ein eigenes zu erstellen, was letztlich nicht von Erfolg gekrönt war. Dennoch blieb ihre Kernkompetenz – die Verschlüsselungstechniken und soziale Manipulation – gefürchtet. Forscher bemerkten auch, dass die Gruppe in ihrer Sterbephase versuchte, neue Märkte zu erforschen und ihre Bemühungen auf Social-Engineering- und Beeinflussungskampagnen zu lenken. Dies schlossen E-Mail-Spam-Operationen und sogenannte Tech-Support-Betrügereien ein.
Wie in jeder Industrie ist auch die Landschaft der russischen Cyberkriminalität von Akteuren durchzogen, die entweder als alte Kollegen oder Konkurrenten fungieren. Black Basta konnte sich schnell einen Namen machen, weil viele ihrer Mitglieder mit vorherigen kriminellen Operationen, darunter der bekannten Gang Conti, verbunden waren. Letztlich ist Black Bastas Niedergang lediglich ein Dämpfer, und nicht das Ende für seine Mitglieder. Man hat bereits Anzeichen für deren Auftauchen in anderen aktiven Banden, wie etwa „BlackSuit“, „INC“, „Lynx“, „Cactus“, und „Nokoyawa“ beobachtet.
Die Ransomware-Szene ist von Personen geprägt, die geschickt neue Gegebenheiten ausnutzen können. Black Basta war in der Lage, durch bemerkenswerte Autonomie und Kreativität im Angesicht sich verändernder Sicherheitslandschaften Einfluss zu gewinnen. Dies wird durch die heutigen Bedrohungen, die von in den Untergrund getriebenen Akteuren ausgehen, deutlich unterstrichen.
