Um novo estudo revelou indícios de uma forte conexão entre os grupos de ransomware Black Basta e Cactus. Especialistas em cibersegurança apontam que membros de ambas as operações estão utilizando as mesmas táticas de ataque e ferramentas para invadir redes corporativas, incluindo o malware proxy BackConnect.
Black Basta e Cactus: A conexão entre duas gangues de ransomware
O papel do malware BackConnect
A investigação começou com a descoberta de uma variante do malware Zloader, que continha um novo recurso de tunelamento de DNS. Posteriormente, pesquisadores do Walmart identificaram que essa versão do Zloader estava instalando o malware proxy BackConnect, cujo código apresentava referências ao QakBot (Qbot).
O BackConnect é uma ferramenta projetada para atuar como um proxy em dispositivos comprometidos, permitindo que cibercriminosos ofusquem sua presença e realizem ataques sem detecção. Ele é especialmente eficaz para manter o acesso a redes comprometidas e facilitar movimentos laterais dentro do ambiente da vítima.
O histórico do Black Basta
O Black Basta surgiu em abril de 2022 e, desde então, tem sido associado a ex-membros da gangue Conti Ransomware, que foi desmantelada no mesmo ano. Inicialmente, o grupo utilizava o QakBot para invadir redes, mas após a interrupção do malware por uma operação policial em 2023, o grupo buscou alternativas, adotando o BackConnect.
Conversas internas vazadas recentemente revelam que os desenvolvedores do Qbot e os operadores do Black Basta estavam em contato direto, sugerindo uma colaboração entre as operações.
O envolvimento do ransomware Cactus
Pesquisadores da Trend Micro identificaram que o grupo de ransomware Cactus também está utilizando o BackConnect em seus ataques, levantando a hipótese de uma sobreposição de membros entre os dois grupos.
Notícias Relacionadas
Ameaça digital
Malware para Android usa .NET MAUI para burlar detecção e roubar dados
Novas campanhas de malware para Android utilizam o .NET MAUI da Microsoft para evitar detecção, disfarçando-se como aplicativos legítimos. A McAfee identificou falsos apps bancários e de comunicação que roubam dados pessoais e financeiros.
Segurança cibernética
Pesquisadores revelam 200 domínios C2 associados ao malware Raspberry Robin
Pesquisadores identificaram quase 200 domínios C2 usados pelo malware Raspberry Robin, um corretor de acesso inicial para grupos cibercriminosos, incluindo hackers russos.
Os ataques do Black Basta e do Cactus seguem um padrão semelhante, incluindo táticas de engenharia social como bombardeio de e-mails e abordagens via Microsoft Teams. Nesses casos, os criminosos se passam por membros da equipe de suporte de TI e induzem a vítima a conceder acesso remoto através do Windows Quick Assist.
Além disso, a análise revelou que o ransomware Cactus tem utilizado um script em PowerShell chamado TotalExec, que também era empregado em ataques do Black Basta. Outro ponto de convergência é a rotina de criptografia inicialmente exclusiva do Cactus, mas posteriormente adotada pelo Black Basta.
O futuro das gangues de ransomware
Desde dezembro de 2024, o Black Basta tem perdido força, com seu site de vazamento permanecendo offline por longos períodos em 2025. Muitos de seus integrantes parecem ter migrado para outros grupos de ransomware, incluindo o Cactus.
O compartilhamento de ferramentas, táticas e membros levanta dúvidas sobre se o ransomware Cactus é uma evolução direta do Black Basta ou se os grupos apenas compartilham recursos e estratégias.
Independentemente da resposta, a conexão entre essas duas gangues ressalta a evolução constante das ameaças cibernéticas e a necessidade de medidas de segurança robustas para proteger redes corporativas contra ataques sofisticados.
