Ex-integrantes do grupo de ransomware Black Basta estão retornando ao cenário de ameaças com ataques cibernéticos sofisticados, agora utilizando phishing no Microsoft Teams e scripts Python maliciosos. A movimentação indica uma reestruturação de afiliados após o colapso do grupo original, que teve seus registros internos vazados no início de 2025.
Ex-membros do Black Basta usam Microsoft Teams e scripts Python para retomar ataques sofisticados
Retorno silencioso com novas táticas
O Black Basta reaparece no radar da cibersegurança por meio de operações discretas que combinam técnicas de engenharia social com ferramentas modernas. Segundo a empresa ReliaQuest, os atacantes estão abusando de domínios legítimos como onmicrosoft[.]com e domínios comprometidos para aplicar ataques de phishing altamente convincentes por meio do Microsoft Teams. Em metade dos casos observados entre fevereiro e maio de 2025, os ataques partiram desses domínios.
Além disso, os criminosos estão incorporando scripts Python maliciosos acionados via cURL, capazes de implantar cargas adicionais em sistemas comprometidos, estabelecendo conexões com servidores de comando e controle (C2). Esse uso do Python marca uma evolução significativa nas táticas do grupo, agora voltadas para persistência e controle remoto.
Evolução técnica e alinhamentos suspeitos
Os ataques não param no phishing. Após obter acesso, os operadores utilizam ferramentas como Quick Assist e AnyDesk para sessões remotas, abrindo caminho para novas infecções e movimentações laterais. A introdução de backdoors como QDoor, RATs em Python como Anubis, e até payloads escritos em Rust, revela um arsenal técnico diversificado e avançado.
A ReliaQuest também apontou indícios de que antigos membros do Black Basta podem ter migrado para grupos Ransomware-as-a-Service (RaaS) como CACTUS e BlackSuit, ou mesmo para o novo coletivo conhecido como BlackLock, com possíveis conexões com o cartel de ransomware DragonForce.
“O fechamento do site de vazamentos da Black Basta não significou o fim de suas operações, apenas um realinhamento estratégico”, afirma o relatório.
Malware em Java e nuvens como proxy
As campanhas também vêm com aprimoramentos técnicos no malware utilizado. De acordo com a empresa Rapid7, os atacantes estão distribuindo uma nova variante de RAT em Java, que já foi utilizada em campanhas anteriores da Black Basta. Este novo código usa serviços em nuvem como Google Drive, OneDrive e Planilhas Google para trafegar comandos e arquivos — estratégia que visa driblar sistemas de detecção ao mascarar o tráfego malicioso como legítimo.
Entre os recursos do novo RAT estão:
- Transferência de arquivos entre o host e C2;
- Criação de túneis SOCKS5;
- Roubo de credenciais de navegadores;
- Exibição de janelas de login falsas do Windows;
- Execução de classes Java diretamente da memória.
Panorama do ransomware em 2025
As movimentações ocorrem em um ano marcado por intensa atividade de ransomware. Grupos como Scattered Spider, Qilin (também conhecido como Phantom Mantis) e PlayCrypt continuam suas campanhas, utilizando desde kits de phishing como Evilginx até a exploração de falhas críticas como a CVE-2024-57727, presente no software SimpleHelp.
As estratégias “um para muitos” da Scattered Spider, focando em provedores de serviços gerenciados (MSPs), ampliam o impacto de um único comprometimento. Já o PlayCrypt alcançou 900 entidades afetadas desde 2022, destacando a escala dessas operações.
Conclusão
A reemergência de ex-membros do Black Basta, agora com ferramentas mais avançadas e alinhamentos estratégicos com novos grupos RaaS, sinaliza uma nova fase nas operações de ransomware corporativo. O uso de phishing por Teams e execução remota via scripts Python representa um salto tático que exige vigilância reforçada, especialmente em ambientes corporativos que utilizam plataformas Microsoft.
O cenário atual mostra que, mesmo com o fim nominal de certos grupos, as táticas, ferramentas e afiliados seguem ativos, reinventando-se para driblar defesas e expandir seus alvos.
