Die Behörden der Ukraine und Deutschland haben einen wichtigen Schritt in der langen Untersuchung gegen die Ransomware-Gruppe namens Black Basta gemacht: Sie haben diejenigen identifiziert, die ihren Führer betrachten und ihre Aufnahme in internationale Suchlisten gefördert haben. Dies ist ein symbolischer und operativer Schlag. die sowohl die Reife der internationalen polizeilichen Zusammenarbeit als auch die Schwierigkeiten widerspiegelt, im Bereich der Cyberkriminalität tätige justizielle Banden zu bringen.
Nach Informationen, die von ukrainischen Cyberpolice verbreitet wurden, richtete die Untersuchung einen 35-jährigen russischen Staatsbürger an, der von Behörden als Oleg Evgenievich Nefedov identifiziert wurde, der der Führung der Operation zugeschrieben wird. Die gleiche Quelle beschreibt die gemeinsame Arbeit mit deutschen Kollegen und die Erstellung von Aufzeichnungen an bestimmten Orten in den Regionen Ivano-Frankivsk und Lviv, wo digitale Speichergeräte und Assets in Kryptomonedas erfasst wurden. Die offizielle Notiz der ukrainischen Polizei ist für weitere Informationen über die Leistung und die gesammelten Beweise verfügbar. Hier..
Darüber hinaus hat die Identifizierung die Aufnahme des angeblichen Führers in internationale Such- und Erfassungslisten zur Folge: Sein Bericht gehört jetzt zu den von Europol veröffentlichten Zielen und einer Interpol-Benachrichtigung. Diese Werkzeuge sind Teil des Arsenals, die die Zusammenarbeit zwischen Polizeikräften in verschiedenen Ländern erleichtern und die Prozesse zur Verhaftung oder Sperrung von Vermögenswerten, in denen es Zuständigkeiten gibt, koordinieren. Offizielle Links zu diesen Mitteilungen sind auf den Seiten der Europol und Interpol.
Black Suit ist ein klares Beispiel dafür, wie das Modell "Ransomware-as-a-Service" (RaaS) die Wirkung dieser Bands professionell und multipliziert hat. Seit seiner Gründung im Jahr 2022 ist die Operation mit Hunderten von Angriffen auf große Organisationen in verschiedenen Teilen der Welt verbunden: Automobil- und Verteidigungsunternehmen, Dienstleister, Gesundheitseinrichtungen und öffentliche Einrichtungen gehören zu den Opfern. Dieses System ermöglicht es Entwicklern, Betreibern und spezialisierten Tochterunternehmen, modular zusammenzuarbeiten, was die Forschung erschwert und den Schadensradius erweitert.
Die ukrainische Untersuchung betont die Präsenz von Einzelpersonen, die sich auf den Erhalt des ersten Zugangs zu Unternehmensnetzwerken spezialisiert haben: Akteure, die durch Werkzeuge und Techniken der "Hash-Cracking" und andere Methoden, die Anmeldeinformationen extrahieren, Privilegien erhöhen und den Boden für die Verschlüsselungs- und Erpressungsphase vorbereiten. Diese Vorbereitungsphase ist in der kriminellen Kette kritisch, weil sie es dem Angreifer ermöglicht, Hintertüren zu installieren und sich seitlich zu bewegen, bevor er den sichtbaren Angriff auf die Systeme des Opfers abtötet.
Ein Element, das half, Licht auf die interne Struktur der Gruppe war das massive Leck von Nachrichten zwischen Mitgliedern von Black Basta selbst, die externen Analysten erlaubt, Alias zu verfolgen, über Rollen und Belohnungen zu sprechen, und mögliche Verbindungen zu früheren Gruppen. Sicherheitsforscher, die dieses Material überprüft haben, haben auf Verbindungen zwischen Online-Identitäten von der Band und Schauspielern, die zuvor auf dem Conti-Netzwerk betrieben, die große Ransomware-Gewerkschaft, die vor einigen Jahren zerlegt. Eine detaillierte Analyse dieser Gespräche und ihrer technischen Bedeutung kann in Trellixs Bericht gelesen werden veröffentlicht von der Firma.
Conti's Geschichte dient als Kontext: Nach seiner Auflösung tauchten in neuen Projekten verstreute Mitglieder und Führungskräfte wieder auf oder kontrollierten bestehende Operationen, wodurch ein Ökosystem entsteht, in dem sichtbare Nachnamen in einer Operation unter anderen Marken wiedererlangen können. Diese Dynamik erschwert nicht nur die Zuweisung, sondern auch die internationale Minderungsstrategie, da die Betreiber oft Schichten von Anwerbung und Bewegung hinzufügen, indem sie die Zuständigkeiten mit wenig Kooperation nutzen.
Die Reaktion der Polizei beinhaltete Maßnahmen vor Ort - Suchen, Beschlagnahme von Geräten und Einfrieren von bestimmten Ressourcen - aber die Verfolgung dieser Netzwerke endet nicht mit einer internationalen Anforderung: Bei der Erprobung der angeblichen Täter erfordert Briefe, Auslieferungen, tiefe forensische Analyse und der Wille, Staaten zu vermehren, lange Prozesse zu halten. Darüber hinaus erfordert die transnationale Natur von Cyberkriminalität die Kombination von technischer Intelligenz und juristischer Diplomatie.
Für Unternehmen und Verwaltungen, die objektiv sein können, betont dieser Fall erneut die Notwendigkeit, grundlegende, aber effektive Maßnahmen zu verstärken: robuste Zugangskontrollen, Überwachung von privilegierten Konten, Netzsegmentierung und Reaktionspläne, die nicht nur technische Erholung, sondern auch rechtliches und Kommunikationsmanagement umfassen. Die Erfahrung zeigt, dass Prävention und Früherkennung die operativen und wirtschaftlichen Auswirkungen von Ereignissen drastisch reduzieren.
Schließlich dient die öffentliche Bekanntgabe der Identifizierung des angeblichen Führers auch als Signal für die Sicherheitsgemeinschaft: Es zeigt, dass Untersuchungen durch den Austausch von Informationen zwischen Gerichtsbarkeiten und Zusammenarbeit mit Cybersicherheitsunternehmen Früchte tragen können, die Lecks und Lecks analysieren. Der Teilerfolg beseitigt jedoch nicht die permanente Herausforderung, die von Akteuren gestellt wird, die sich durch Kryptomonedas, dezentrale Infrastruktur und eine starke Anonymitätskultur weiterhin an die Polizeireaktionen anpassen.
Weitere Informationen zu Primärquellen und technischer Analyse finden Sie in der oben erwähnten ukrainischen Cyberpolice. Hier. und Trellix Studie von gefilterten Chats Hier. sowie die von Europol und Interpol.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...