Neue Untersuchungen haben Verbindungen zwischen den Ransomware-Banden Black Basta und Cactus aufgedeckt. Während Black Basta in der Schweiz unter anderem für Cyberangriffe auf Franz Carl Weber, die BKW-Tochter Swisspro und den Personalberater Das Team verantwortlich war, machte sich Cactus einen Namen mit Attacken auf den Industriekonzern Schneider Electric und den Vermögensverwalter Thomas Lloyd.

Wie Sicherheitsexperten von Trend Micro herausgefunden haben, nutzen die Mitglieder der beiden Gruppen dieselben Social-Engineering-Angriffe sowie die Proxy-Malware Backconnect, um erst auf Unternehmensnetzwerke zugreifen und sich dort ungestört ausbreiten zu können.

Bereits im Januar entdeckte der amerikanische Security-Anbieter Zscaler ein Sample einer Zloader-Malware, das eine neue DNS-Tunneling-Funktion enthielt. Weitere Untersuchungen zeigten dann, dass Zloader auch eine neue Proxy-Malware namens Backconnect einschleust, in deren Code sich Verweise auf die Malware Qakbot finden lassen.

Backconnect ist eine Malware, die für den Zugriff auf kompromittierte Server dient. Die Schadsoftware ermöglicht es Cyberkriminellen, einen Tunnel für den Datenverkehr zu schaffen, der ihre Aktivitäten verschleiert, um sich innerhalb der Umgebung eines Opfers auszubreiten, ohne dabei entdeckt zu werden.

Trend Micro nimmt an, dass sowohl Zloader, Qakbot als auch Backconnect mit der Ransomware-Bande Black Basta in Verbindung stehen. Erhärtet werden diese Vermutungen auch durch ein kürzlich aufgetretenes Datenleck bei Black Basta selbst. Dabei wurden interne Gespräche über die Operationen der Cyberkriminellen veröffentlicht.

Mehr als ein Jahr an internen Chatverläufen wurde online geleakt. Diese Daten haben einen seltenen Einblick in die Taktiken und die einzelnen Konflikte zwischen den Mitgliedern gegeben. Die russischsprachigen Nachrichten wurden von einer Person publiziert, die behauptete, dass sie diesen Schritt unternommen habe, weil Black Basta russische Banken angreift.

Die Gespräche enthüllten einen der Drahtzieher hinter Black Basta, einen Hauptadministrator, der auch mit administrativen Aufgaben betraut war, einen Nutzer, der mit der Qakbot-Gruppe verbunden war, sowie mehrere Personen, die zuvor bereits an der Ransomware-Bande Conti beteiligt waren, die sich im Mai 2022 nach einem massiven Datenleck aufgelöst hat.

Black Basta tauchte erstmals im April 2022 auf. In der Vergangenheit hat die Ransomware-Bande stets mit Qakbot gearbeitet, um sich zunächst Zugang zu Unternehmensnetzwerken zu verschaffen. Im August 2023 wurde das Netzwerk hinter der Malware allerdings vom FBI stillgelegt. Black Basta musste sich also nach Alternativen umschauen, um in Netzwerke einzudringen.

Der Wechsel zu Backconnect deutet laut einer Analyse von Trend Micro darauf hin, dass die Ransomware-Bande immer noch mit denselben Entwicklern zusammenarbeitet, die zuvor an der Qakbot beteiligt waren. So haben die Sicherheitsexperten herausgefunden, dass Cactus ebenfalls Backconnect für ihre Angriffe nutzt, was auf eine mögliche Überschneidung der beiden Gruppen hinweisen könnte.

Bei den von Trend Micro beobachteten Black-Basta- und Cactus-Angriffen nutzten die Bedrohungsakteure zuerst dieselbe Social-Engineering-Attacke, bei der ein Ziel mit einer überwältigenden Anzahl von E-Mails bombardiert wird. Die Angreifer nahmen dann über Microsoft Teams Kontakt mit dem Opfer auf und gaben sich als IT-Helpdesk-Mitarbeiter aus, um die Mitarbeitenden zu einem Fernzugriff zu bewegen.

Gemäss Trend Micro ist der Angriffsablauf von Black Basta und Cactus zwar nicht identisch, aber in den Grundzügen doch sehr ähnlich. Trend Micro fand zudem heraus, dass Cactus für seine Hacks Befehls- und Kontrollserver verwendet, die normalerweise mit Black Basta in Verbindung gebracht werden.

Eine weitere Verbindung zwischen den beiden Ransomware-Banden ist ein Powershell-Skript namens Totalexec, das häufig bei Ransomware-Angriffen von Black Basta und Cactus zu sehen war. Darüber hinaus übernahm Black Basta eine Verschlüsselungsroutine, die ursprünglich nur bei Cactus-Ransomware-Angriffen zum Einsatz kam.

Die gemeinsame Verwendung von ähnlichen Taktiken, Backconnect als Proxy-Tool für den Fernzugriff und die anderen operativen Ähnlichkeiten deuten sehr darauf hin, dass es sich bei Cactus Ransomware um eine Neuauflage von Black Basta handeln könnte oder dass es zumindest eine starke Überschneidung zwischen den Mitgliedern der Gruppen gibt.

Zuletzt wurde es auch um Black Basta etwas leise. Wie 'Bleeping Computer' schreibt, war der Darknet-Blog der Ransomware-Bande während der ersten zwei Monaten von 2025 fast die ganze Zeit über offline. Auch das Datenleck dürfte die einzelnen Mitglieder aufgeschreckt haben. So scheint es wahr­scheinlich, dass manche Hacker bereits zu anderen Banden übergelaufen sind.