Black Basta Ransomware: Internationale Razzia deckt mutmaßliche Mitglieder auf

Key Takeaways:

• Deutsche und ukrainische Polizei durchsuchten Wohnungen mutmaßlicher Black Basta-Mitglieder in der Ukraine.
• Zwei Verdächtige werden als sogenannte "Hash Cracker" identifiziert, die Passwörter knackten, um Netzwerke zu infiltrieren.
• Die Behörden fahnden international nach dem mutmaßlichen russischen Anführer Oleg Nefedov.
• Die Ransomware-as-a-Service-Gruppe hat laut Ermittlungen über 500 Unternehmen weltweit angegriffen und Schäden in dreistelliger Millionenhöhe verursacht.

Internationale Razzia gegen Ransomware-Netzwerk

In einer gemeinsamen Operation haben die Staatsanwaltschaft der Ukraine und deutsche Strafverfolgungsbehörden einen Schlag gegen die berüchtigte Black Basta-Ransomware-Gruppe geführt. Bei Durchsuchungen in der Westukraine wurden die Wohnungen und Wirkungsstätten zweier ukrainischer Staatsbürger durchsucht, die dem internationalen Cyberkriminellen-Netzwerk zugerechnet werden.

Während der Razzien beschlagnahmten die Beamten Mobiltelefone, Computerausrüstung, handschriftliche Notizen und Kryptowährungen. Die Analyse der Beweismittel läuft derzeit. Laut einer Pressemitteilung der ukrainischen Generalstaatsanwaltschaft waren die beiden Verdächtigen für das Knacken von Passwort-Hashes verantwortlich.

"Die auf diese Weise erhaltenen Zugangsdaten wurden für die weitere Verbreitung von Schadsoftware in den Netzwerken der Opfer verwendet", heißt es in der offiziellen Erklärung.

Die Rolle der "Hash Cracker" und das Ausmaß der Schäden

Die mutmaßlichen Täter fungierten als spezialisierte "Hash Cracker". Ihre Aufgabe war es, gestohlene oder geknackte Passwörter zu beschaffen und wiederherzustellen. Diese Zugangsdaten bildeten die Grundlage für die eigentlichen Netzwerk-Invasionen, den Diebstahl sensibler Daten und die letztendliche Installation der Erpressungssoftware.

Das Ausmaß der von Black Basta verursachten Schäden ist enorm:

• Über 500 Organisationen weltweit wurden angegriffen.
• Allein in Deutschland erlitten mehr als 100 Unternehmen Betriebsstörungen, der geschätzte Schaden liegt bei über 20 Millionen Euro.
• Zu den Opfern zählen Krankenhäuser, öffentliche Einrichtungen und Behörden.

Fahndung nach dem mutmaßlichen Anführer Oleg Nefedov

Parallel zu den Razzien in der Ukraine hat das deutsche Bundeskriminalamt (BKA) einen internationalen Fahndungsaufruf für den mutmaßlichen Kopf der Bande herausgegeben. Dabei handelt es sich um den russischen Staatsbürger Oleg Nefedov.

Ihm werden folgende Haupttätigkeiten innerhalb der kriminellen Organisation vorgeworfen:

• Auswahl der Angriffsziele
• Rekrutierung neuer Mitglieder
• Koordination der Cyberangriffe
• Verhandlung der Lösegeldforderungen
• Verteilung der erbeuteten Kryptowährungs-Erlöse

Nefedov, der unter mehreren Online-Aliasen operiert haben soll, wird eine Verbindung zur ebenfalls berüchtigten Conti-Ransomware-Gruppe nachgesagt. Er soll sich derzeit in Russland aufhalten und steht nun auf der internationalen Fahndungsliste von Interpol.

Black Basta: Ein lukratives Ransomware-as-a-Service-Geschäft

Die Black Basta-Gruppe ist seit April 2022 aktiv und agiert nach dem Ransomware-as-a-Service (RaaS)-Modell. Das bedeutet, die Entwickler vermieten oder lizenzieren ihre Schadsoftware an andere Kriminelle ("Affiliates"), die dann die Angriffe durchführen. Die Erlöse werden geteilt.

Eine gemeinsame Untersuchung von Elliptic und Corvus Insurance aus dem Jahr 2023 ergab, dass die Gruppe seit Anfang 2022 mindestens 107 Millionen US-Dollar an Bitcoin-Lösegeld kassiert hat. Die Forscher analysierten Blockchain-Transaktionen und konnten eine klare Verbindung zwischen Black Basta und der aufgelösten Conti-Gruppe nachweisen.

Zu den bekannten Opfern von Black Basta zählen große Konzerne wie der Technologiekonzern ABB, der britische Outsourcing-Dienstleister Capita, der US-TV-Anbieter Dish Network und der deutsche Rüstungskonzern Rheinmetall. Der internationale Polizeischlag zeigt, dass die Strafverfolgungsbehörden zunehmend koordiniert gegen die Betreiber solcher hochprofitabler Ransomware-Netzwerke vorgehen.