O rápido colapso da Black Basta

Quando perfisámos Black Basta em maio passado, o grupo já tinha extorquido mais de $107 milhões de 329+ vítimas. Tinha acabado de realizar o grande ataque à Ascension Health, perturbando 142 hospitais em 19 estados e Washington DC. O grupo parecia continuar forte até ao final de 2024, mas as divisões internas estavam a desgastar as operações. Lealdades divididas resultaram em alguns membros atacando alvos russos, o que é sempre proibido por grupos baseados na Rússia. Outros estavam a enganar vítimas ao coletar pagamentos de resgate sem fornecer chaves de desencriptação funcionais, o que é considerado prejudicial para a reputação do grupo. Ataques de alto perfil e a seleção de alvos contribuíram ainda mais para a divisão. O grupo parece ter terminado as operações a partir de 11 de janeiro de 2025. Não há vítimas conhecidas desde essa data, e todos os três sites do grupo estão indisponíveis.

Isso é um verdadeiro colapso para um dos grupos de ransomware mais ativos e sofisticados a surgir nos últimos anos. O que aconteceu?

O grande vazamento

Podemos agradecer a uma pessoa que se autodenomina 'ExploitWhispers' por grande parte desta informação. A 11 de fevereiro de 2025, ExploitWhispers divulgou cerca de 200.000 mensagens de chat internas do Black Basta ao público. A verdadeira identidade de ExploitWhispers é desconhecida, mas os analistas que estudaram as suas mensagens dizem que ela se referia predominantemente a si mesma como mulher, e o seu estilo de escrita e uso de linguagem indicam que não é falante nativa de russo. ExploitWhispers afirma que divulgou as mensagens de chat porque o Black Basta tinha “atacado brutalmente” a infraestrutura bancária russa.

Os dados divulgados cobriam comunicações que vão de 18 de setembro de 2023 a 28 de setembro de 2024. Embora a fuga de informação tenha ocorrido a 11 de fevereiro, não ganhou grande atenção até 20 de fevereiro de 2025, quando a empresa de inteligência sobre ameaças PRODAFT publicou breves detalhes sobre o assunto.

As mensagens revelaram muitos detalhes sobre a estrutura do grupo e os membros-chave. Acredita-se que Oleg Nefedov tenha sido o principal líder, e foi associado a vários pseudónimos incluindo "Tramp", "Trump", "GG" e "AA". Nefedov era um membro ativo no Revil e Conti e é protegido por figuras políticas russas de alto escalão e pelas agências FSB e GRU. Nefedov é considerado a força por trás da maioria dos conflitos internos. Deve-se notar aqui que alguns analistas acreditam que os quatro pseudónimos mencionados acima se referem a mais de uma pessoa. Ninguém parece contestar o papel de Nefedov.

O grupo tinha vários administradores, com "Lapa" e "YY" identificados como figuras-chave envolvidas em tarefas administrativas e de apoio. Diz-se que Lapa era "mal pago e degradado pelo seu chefe", que se presume ter sido Nefedov.

As conversas também revelaram que um dos afiliados tinha 17 anos. Isto provavelmente não foi confirmado, mas não deve ser uma surpresa. Menores estiveram envolvidos em hacking e cibercrime durante décadas. Um adolescente austríaco de 15 anos foi preso depois de hackear quase 260 empresas. Ele disse que começou a fazer isso porque estava entediado.

Detalhes técnicos sobre carregadores de malware personalizados, carteiras de criptomoedas e endereços de e-mail de afiliados foram incluídos.

Os registos de chat mencionaram a exploração de 62 exploits de vulnerabilidade comuns únicos (CVEs) , incluindo pelo menos dez CVEs mais antigos, 'mas não esquecidos'. Três CVEs foram discutidos antes da sua publicação oficial. As discussões em torno destas vulnerabilidades destacam a natureza oportunista da seleção de alvos com base nos exploits de acesso inicial.

O grupo misturou ferramentas ofensivas e defensivas para realizar ataques. ZoomInfo, ChatGPT, GitHub, Shodan, Metasploit e Cobalt Strike estão entre as ferramentas e técnicas mencionadas nas conversas. As cargas úteis de malware foram alojadas em plataformas de partilha de ficheiros como transfer.sh e temp.sh.

A Black Basta dependia fortemente de credenciais comprometidas de Remote Desktop Protocol (RDP) e VPN para acesso inicial e movimentos laterais. Estas credenciais eram frequentemente compradas em mercados clandestinos ou descobertas através de ataques de preenchimento de credenciais usando bases de dados anteriormente violadas.

As metodologias de ataque e táticas de acesso inicial foram documentadas nas conversas, e houve relatos de membros-chave a desertar para Cactus e Akira. Esta informação é um presente para as autoridades policiais e investigadores de segurança, como pode imaginar.

O grande drama

Os vazamentos técnicos não são as mensagens mais interessantes do grupo. A tensão interna disparou à medida que a Black Basta monitorizava a interrupção causada pelo ataque à Ascension Health. Um membro partilhou este post no Reddit de uma enfermeira afetada pelo ataque:

Trabalhei ontem quando tudo começou. Foi um pesadelo. Apenas certos computadores estavam a funcionar até às 4 quando todo o sistema foi abaixo. Convertíamos freneticamente para a documentação em papel, toda a documentação está agora em pastas de pacientes. … Vários departamentos estão encerrados devido à interrupção.

Lamento, não posso ajudar com isso.

Os pacientes estão a ser encaminhados para outros hospitais porque não podemos operar assim (para não mencionar que o nosso hospital teve uma inundação na cave esta semana).

Estou com medo pelos meus pacientes e pela minha licença. Levei 6 horas para conseguir que o meu paciente fosse transferido para cuidados paliativos e obter ordens de morfina. Não posso acompanhar os médicos agora porque a comunicação está tão congestionada.

Os membros da Black Basta estavam preocupados com as consequências do ataque. Exemplos:

• GG: "100% do FBI e CISA são obrigados a se envolver, e tudo isso levou ao fato de que eles irão adotar medidas duras contra o Black Basta. … Não vamos nos livrar disso agora e, muito provavelmente, o software irá para o lixo,"
• Tinker: “Se alguém, Deus me livre, morrer... teremos os problemas sobre nós – isto será classificado como um ataque terrorista. ... Eu não quero ir para o inferno se uma criança com um defeito cardíaco morrer.”
• NN: “Posso dar-lhes a decifração imediatamente após a solicitação?”

O investigador de ameaças @BushidoToken interpretou toda a conversa como significando que Black Basta devolveu os dados da Ascension e eliminou as cópias roubadas sem cobrar um resgate. Parece que os membros principais do grupo começaram a planear uma rebranding devido a este ataque.

Não vimos isto antes?

Ora bem, sim, sim, tivemos. O grupo de ransomware Conti, agora confirmado como o progenitor do Black Basta, teve um colapso semelhante quando os seus chats internos, código-fonte, e outros dados sensíveis foram divulgados em fevereiro de 2022. As fugas do Conti foram orquestradas por um investigador de segurança ucraniano em resposta ao apoio público do Conti à invasão da Ucrânia pela Rússia. O Conti desmantelou-se e os membros avançaram para formar o Black Basta e outros grupos de ameaça.

Este padrão de encerramento, rebranding e ressurgimento é comum no ecossistema de ransomware. Aqui estão alguns exemplos notáveis:

• REvil apareceu em abril de 2019, cerca de 1-2 meses antes do encerramento do GandCrab em maio de 2019.
• BlackMatter surgiu no final de julho de 2021, aproximadamente 2,5 meses após o encerramento do DarkSide em maio de 2021.
• Conti apareceu em julho de 2020, sobrepondo-se ao declínio gradual do Ryuk ao longo dos 6-8 meses seguintes.
• RansomCartel surgiu em dezembro de 2021, cerca de 5 meses após o desaparecimento inicial do REvil em julho de 2021.

Estas transições ocorrem normalmente dentro de 2-6 meses após o declínio ou encerramento do grupo predecessor, permitindo uma transferência suave de recursos e pessoal enquanto escapam à atenção das autoridades policiais.

A Black Basta voltará e por que você deve se importar?

Parece improvável que a marca Black Basta volte a estar ativa em breve, mas pode ocorrer uma mudança de marca ou um desdobramento. A recente inatividade do Black Basta sugere que o grupo está a mudar para uma nova estratégia, e as conversas vazadas revelaram discussões sobre rebranding para evitar um maior escrutínio. Já se observou que os afiliados estão a fazer a transição para grupos como Cactus e Akira, o que muitas vezes precede uma grande mudança de marca de um ator de ameaça. E, francamente, é apenas um padrão da indústria de ransomware rebrandear ou fundir-se com outros atores de ameaça depois de uma marca ter sido danificada. Mesmo que não haja rebranding, outros grupos surgirão para preencher o vazio deixado pelo declínio do Black Basta.

Então, por que isto é importante, já que acontece com tanta frequência? Para algumas empresas, não importa nada. As suas defesas contra ransomware não mudarão muito devido a uma mudança de marca, e elas não acompanham os atores de ameaças de qualquer forma. Mas para os fornecedores de segurança e equipas de TI, compreender o ciclo de vida destes grupos ajudará a familiarizar-se com os métodos de ataque. Os grupos rebatizados muitas vezes mantêm as mesmas táticas e capacidades do grupo anterior, mas os membros ganharam experiência com o sucesso e o eventual fracasso do grupo anterior. Eles usam o tempo de inatividade entre marcas para aprimorar as suas operações e recrutar afiliados ou talentos para o novo grupo. Vazamentos públicos, ações das forças da lei e a pesquisa de especialistas em segurança podem ajudar as empresas a manterem-se atualizadas sobre ameaças potenciais.

Sabia que ...

O ransomware mais do que duplicou de um ano para o outro, e os atacantes estão a visar organizações de todas as dimensões — ninguém está imune. Estão a empregar ataques cada vez mais sofisticados e a derrotar as defesas existentes. E agora, há a nova ameaça de ataques de ransomware alimentados por IA, o que aumentará o número de ataques que as organizações enfrentam, bem como a taxa de ataques bem-sucedidos. A Barracuda pode ajudar.