Você sabia que os chats internos do grupo de ransomware Black Basta foram vazados? Isso revelou muito sobre suas operações e disputas internas. As mensagens mostram como o grupo, que usa o malware QakBot, atacou bancos e outras empresas até o final de 2023. Vamos explorar tudo isso!
- Chats internos do grupo Black Basta vazaram, mostrando brigas e operações do grupo.
- O grupo arrecadou US$ 107 milhões em Bitcoin de mais de 90 vítimas.
- Black Basta parou de operar no início de 2025 devido a conflitos internos.
- Usaram falhas de segurança e servidores expostos para realizar ataques.
- Outros grupos, como Cl0p e Ghost, estão atacando mais empresas atualmente.
Vazamento de Chats do Black Basta: O Que Você Precisa Saber
O Que Aconteceu?
Um grupo de ransomware chamado Black Basta teve seus chats internos vazados. As mensagens, escritas em russo, foram divulgadas e revelaram detalhes sobre as operações e brigas internas do grupo. O vazamento ocorreu em 11 de fevereiro de 2025, abrangendo um período de setembro de 2023 até setembro de 2024. O usuário responsável pelo vazamento é conhecido como ExploitWhispers.
Por Que Isso Importa?
Esse vazamento parece ter sido motivado por uma ofensiva do grupo contra bancos russos. O Black Basta, ativo desde abril de 2022, utiliza o malware QakBot (QBot) para realizar seus ataques.
A Quantidade de Dinheiro Envolvida
Até o final de 2023, o Black Basta arrecadou cerca de 107 milhões de dólares em Bitcoin, afetando mais de 90 vítimas e cerca de 500 empresas, incluindo infraestruturas críticas na América do Norte, Europa e Austrália.
O Que Aconteceu com o Black Basta?
Segundo a empresa suíça PRODAFT, o Black Basta está inativo desde o início de 2025 devido a conflitos internos que levaram à desorganização do grupo. Alguns membros estavam recebendo resgates sem entregar os descriptografadores prometidos, e muitos operadores importantes se juntaram a outros grupos de ransomware, como CACTUS e Akira.
Como Eles Faziam os Ataques?
Uma investigação da Qualys revelou que o Black Basta explorava falhas conhecidas e configurações inadequadas para invadir redes. Eles abusavam de servidores RDP expostos e de VPNs com senhas fracas, utilizando plataformas legítimas como transfer.sh e send.vis.ee para distribuir seus malwares sem levantar suspeitas.
O Cenário Atual de Ataques
Esse vazamento ocorre em um momento em que outros grupos de ransomware, como o Cl0p, estão intensificando seus ataques. O Cl0p, por exemplo, está explorando uma falha conhecida como CVE-2024-50623 e ameaçando divulgar dados de suas vítimas. A CISA, uma agência de segurança, também alertou sobre a crescente atividade do grupo Ghost, que está atacando empresas em mais de 70 países.
O Que a Análise Mostrou?
Uma análise da VulnCheck identificou 62 CVEs mencionadas nos chats do Black Basta, sendo que 53 estavam sendo exploradas ativamente. O grupo preferia atacar grandes empresas e softwares amplamente utilizados, como Citrix NetScaler, Confluence Atlassian e Microsoft Windows.
O Que Isso Significa Para Você?
Se você trabalha em uma empresa que utiliza algum desses softwares ou que pode ser alvo de ransomware, é importante ficar atento. Os ataques de ransomware podem ser devastadores para empresas, funcionários e clientes.
O Que Fazer Para Se Proteger?
Aqui estão algumas dicas para proteger sua empresa e seus dados:
- Mantenha os softwares atualizados: Instale as atualizações de segurança assim que disponíveis.
- Use senhas fortes: Evite senhas fracas, utilizando combinações de letras, números e símbolos.
- Eduque os funcionários: Realize treinamentos regulares sobre segurança cibernética.
- Tenha backups regulares: Isso ajuda a recuperar dados em caso de um ataque bem-sucedido.
Se você deseja aprender mais sobre Segurança e Investigação, recomendamos conferir o cursos disponiveis da Foco em SEC.
Conclusão
Em resumo, o vazamento dos chats do grupo Black Basta expôs suas operações e conflitos internos, além de destacar a periculosidade e a complexidade do cenário atual de ransomware. Com 107 milhões de dólares em Bitcoin arrecadados e a revelação de suas táticas, a segurança cibernética deve ser uma prioridade. Você, que está lendo isso, tem o poder de proteger sua empresa e seus dados. Mantenha-se informado, atualize seus sistemas e eduque sua equipe sobre as melhores práticas de segurança. Não deixe que a próxima vítima seja você!
Se deseja se aprofundar mais nesse tema e em outros assuntos relevantes, não hesite em visitar o nosso blog em Foco em Segurança.