Os Segredos do Grupo de Ransomware Black Basta

Os segredos do grupo de ransomware Black Basta foram revelados! Uma enorme quantidade de dados internos do grupo de ransomware Black Basta veio a público, revelando mais de 200.000 mensagens trocadas entre os seus membros, o material, partilhado por um utilizador conhecido como “ExploitWhispers”, fornece detalhes sobre o funcionamento do grupo criminoso, os critérios para a escolha de alvos e conflitos internos entre os criminosos, as comunicações abrangem um período de um ano, de setembro de 2023 a setembro de 2024, e oferecem uma visão inédita sobre um dos grupos mais ativos no cenário do cibercrime.

Ao analisarmos agora estas informações, que mostram os bastidores das operações do grupo, podemos ver como os ataques são planeados e revelam desentendimentos entre os próprios criminosos, o grupo de cibercriminosos Black Basta tornou-se conhecido por atingir infraestruturas críticas em vários países, por exemplo, em 2023, o FBI e a Agência de Segurança de Infraestruturas e Cibersegurança dos EUA indicaram que o grupo comprometeu 12 dos 16 setores estratégicos do país, afetando mais de 500 organizações em todos o mundo, entre as vítimas confirmadas estão empresas e instituições como a Ascension (setor de saúde nos EUA), Hyundai Europe, Capita (Reino Unido), a Agência Aduaneira do Chile e a Southern Water (Reino Unido).

As mensagens internas também mostram sinais de tensão dentro do grupo, especialmente depois da prisão de um dos seus líderes, esse episódio aumentou o medo de investigações e levou a críticas contra o atual chefe da organização, que alegadamente seria Oleg Nefedov. Ele foi acusado de colocar a operação em risco ao atacar um banco russo, algo que poderia atrair atenção indesejada. Foram reveladas identidades de membros importantes, como os administradores chamados “Lapa” e “YY”, além de um operador conhecido como “Cortes”, que teria ligação com o grupo de ransomware Qakbot.

Os ataques do Black Basta seguem um padrão típico, normalmente começam com mensagens de mail de phishing com links maliciosos, em muitos casos, essas mensagens trazem anexos de ficheiros de ZIP protegidos por palavra-passe que, ao serem abertos, instalam o trojan bancário Qakbot. Esse malware dá aos criminosos uma porta de entrada para a rede da vítima, permitindo o uso de ferramentas como o SystemBC para comunicação encriptada, uma vez dentro do sistema, os cibercriminosos utilizam o Cobalt Strike para reconhecimento, desativam antivírus e usam programas como Mimikatz e Rclone para roubo de dados, tembém, recorrem a softwares legítimos de acesso remoto para garantir a permanência nos sistemas comprometidos.

Na fase final, os ficheiros da vítima são encriptados e recebem a extensão “.basta”, numa estratégia típica de dupla extorsão. Diferente de outros grupos, o Black Basta não exige pagamento imediato, em vez disso, ficam à espera entre 10 e 12 dias para que a própria vítima inicie o contacto, antes de divulgar os dados roubados. Outra tática frequentemente usada envolve engenharia social, incluindo chamadas diretas para funcionários das empresas atacadas, um método semelhante ao utilizado pelo grupo Scattered Spider.

O Black Basta não atua de forma aleatória. O grupo mantém uma lista organizada de potenciais alvos e utiliza serviços como a ZoomInfo para recolher informações antes de lançar os ataques, este nível de gestão do ataque reforça o caráter profissional das operações.

O conteúdo agora exposto proporciona um nível de detalhe inédito sobre as atividades do Black Basta, lançando luz sobre a estrutura e os métodos de um dos grupos de ransomware mais sofisticados da atualidade.