Um extenso vazamento de registros de bate-papo revelou detalhes internos da gangue de ransomware Black Basta, fornecendo uma visão inédita de suas operações e conflitos entre seus membros. O material, divulgado online, inclui conversas privadas realizadas na plataforma Matrix entre setembro de 2023 e setembro de 2024.
O vazamento foi inicialmente publicado em fevereiro de 2025 por um usuário chamado ExploitWhispers, que alegou ter divulgado os dados porque o grupo estava atacando bancos russos. A identidade do responsável pela exposição ainda é desconhecida.
A ascensão do Black Basta
O Black Basta ganhou notoriedade em abril de 2022, utilizando o malware QakBot como ferramenta de ataque. Segundo um alerta do governo dos EUA emitido em maio de 2024, o grupo já atingiu mais de 500 organizações nos setores privado e de infraestrutura crítica na América do Norte, Europa e Austrália.
Pesquisas da Elliptic e da Corvus Insurance indicam que o grupo arrecadou pelo menos US$ 107 milhões em resgates pagos em Bitcoin por mais de 90 vítimas até o final de 2023.
Conflitos internos e declínio
De acordo com a empresa de cibersegurança PRODAFT, o Black Basta, também conhecido como Vengeful Mantis, enfrenta disputas internas que levaram à sua quase inatividade desde o início de 2025. Relatos indicam que alguns operadores estavam cobrando resgates sem fornecer chaves de descriptografia funcionais, causando desentendimentos dentro do grupo.
Membros importantes do Black Basta teriam migrado para outras operações de ransomware, como CACTUS e Akira. Um dos principais responsáveis pelos conflitos foi um agente chamado “Tramp” (LARVA-18), associado ao spam do QBot, que desempenhou um papel crucial na instabilidade do grupo.
Revelações do vazamento
O vazamento contém cerca de 200.000 mensagens e revela detalhes como:
Notícias Relacionadas
Desenvolvedor do LockBit
Suposto desenvolvedor do LockBit é extraditado para os EUA por crimes cibernéticos
Rostislav Panev, suposto desenvolvedor do ransomware LockBit, foi extraditado para os EUA após sua prisão em Israel. Ele é acusado de projetar malware e facilitar ataques cibernéticos, enquanto as autoridades reforçam o combate a crimes digitais.
Cibersegurança Avançada
Novo ransomware SuperBlack explora vulnerabilidades da Fortinet para ataques sofisticados
O ransomware SuperBlack, operado pelo grupo Mora_001, está explorando vulnerabilidades da Fortinet para comprometer firewalls e realizar ataques sofisticados. A análise aponta ligação com o LockBit e destaca um processo estruturado de invasão e criptografia.
- Lapa: um dos administradores do Black Basta, responsável por tarefas organizacionais.
- Cortes: associado ao QakBot, tentou se distanciar após os ataques do Black Basta a bancos russos.
- YY: administrador envolvido no suporte do grupo.
- Trump (Oleg Nefedov): suposto líder do grupo, também conhecido como GG e AA.
- Bio: ex-membro do grupo Conti, colaborou com Trump no passado.
- Um afiliado menor de idade: acredita-se que um dos operadores do Black Basta tenha menos de 17 anos.
- Uso de engenharia social: o grupo adotou táticas de manipulação humana inspiradas no Scattered Spider.
Métodos de ataque
O Black Basta utiliza uma combinação de vulnerabilidades conhecidas, configurações incorretas e credenciais comprometidas para obter acesso a redes-alvo. As discussões internas indicam que o grupo explora falhas em SMB, servidores RDP expostos e mecanismos de autenticação fracos.
Outros métodos incluem:
- Uso de malwares dropper para infiltrar cargas maliciosas.
- Hospedagem de malwares em plataformas legítimas como transfer.sh e send.vis.ee.
- Movimentação rápida dentro das redes para comprometer sistemas inteiros em questão de horas ou minutos.
Ameaça contínua do ransomware
O vazamento do Black Basta ocorre em um momento de crescente atividade de ransomware. O grupo Cl0p, por exemplo, voltou a atacar organizações usando a falha CVE-2024-50623 no software de transferência de arquivos Cleo.
Além disso, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou sobre ataques do grupo Ghost em mais de 70 países, incluindo a China. O Ghost, também conhecido como Cring e Phantom, explora vulnerabilidades antigas do Adobe ColdFusion, Fortinet FortiOS e Microsoft Exchange Server para comprometer sistemas e distribuir ransomware.
Conclusão
O vazamento dos registros do Black Basta oferece uma visão rara do funcionamento de um dos grupos de ransomware mais ativos dos últimos anos. As informações reveladas não apenas expõem disputas internas, mas também fornecem dados cruciais para melhorar as estratégias de defesa contra ataques cibernéticos. Empresas e organizações devem reforçar suas políticas de segurança para evitar serem alvos de grupos como o Black Basta e outras ameaças emergentes.
