A hierarquia dos grupos de ransomware está sempre mudando e evoluindo, com os grupos mais agressivos e imprudentes arrecadando grandes pagamentos de alvos vulneráveis—mas frequentemente acabando por se extinguir. O grupo Black Basta, de fala russa, é o mais recente exemplo dessa tendência, tendo estagnado nos últimos meses devido a ações das autoridades e a uma vazamento prejudicial. Mas, após algumas semanas de silêncio, os pesquisadores alertam que, longe de estar morto e enterrado, os atores envolvidos com o Black Basta vão reemergir em outros grupos cibercriminosos—ou potencialmente já o fizeram—para reiniciar o ciclo novamente.
Desde que apareceu em abril de 2022, o Black Basta gerou centenas de milhões de dólares em pagamentos, visando uma variedade de vítimas corporativas em saúde, infraestrutura crítica e outras indústrias de alto risco. O grupo usa a dupla extorsão para pressionar os alvos a pagarem um resgate—roubando dados e ameaçando vazá-los enquanto também criptografa os sistemas de um alvo para mantê-los reféns. A Agência de Segurança Cibernética e Infraestrutura dos EUA alertou no ano passado que o Black Basta havia iniciado uma onda de ataques a mais de 500 organizações na América do Norte, Europa e Austrália.
Uma grande ação internacional de aplicação da lei em 2023 contra o botnet “Qakbot” prejudicou as operações do Black Basta, no entanto. E, em fevereiro, um grande vazamento de dados internos do grupo—incluindo logs de bate-papo e informações operacionais—abalou o grupo. Desde então, ele ficou dormente. No entanto, os pesquisadores alertam que os criminosos por trás do Black Basta já estão em movimento e quase certamente encenarão um ressurgimento.
“Nós não vimos os líderes do Black Basta se reorganizarem, mas eles vão continuar a trabalhar, eles vão continuar a operar”, diz Allan Liska, analista de inteligência de ameaças focado em ransomware na empresa de segurança Recorded Future. “Ainda há dinheiro demais nisso para não o fazerem. E os atores de ransomware são criaturas de hábito como qualquer um.”
O vazamento revelou detalhes sobre o malware do Black Basta e suas capacidades técnicas, suas disputas internas e pistas sobre a identidade dos atores por trás do grupo, particularmente seu administrador principal. Os dados expostos eram do que pode ser considerado o auge do Black Basta, de setembro de 2023 a setembro de 2024. Durante esse período, o grupo não hesitou em considerar a possibilidade de causar danos com suas violações. Um ataque particularmente agressivo no ano passado à rede de saúde com sede em St. Louis, Ascension, por exemplo, supostamente causou interrupções nos cuidados, incluindo ambulâncias redirecionadas.
O Black Basta lutou para manter seu ímpeto, no entanto, após a ação contra o Qakbot em 2023, conhecida como Operação Caça-Pato.
“Foi um grande golpe para eles, e eles estavam tentando se reerguer—usar outros botnets, trabalhar em um botnet personalizado, mas isso não funcionou realmente, e, em última análise, sua taxa de infecção estava diminuindo”, diz Yelisey Bohuslavskiy, diretor de pesquisa da empresa de inteligência de ameaças RedSense. “Eles tinham menos alvos e estavam entrando em menos redes. Eles ainda eram perigosos, mas havia essa sensação de que estava ocorrendo uma deterioração.”
Mesmo em meio a esse declínio, havia evidências de que o Black Basta estava tentando montar um ressurgimento. Além de explorar novos malwares, o grupo começou a focar em comprometer alvos através de engenharia social e campanhas de influência, particularmente operações de e-mail de spam e golpes de suporte técnico. Mas, após o vazamento, diz Bohuslavskiy, os membros começaram a se mover para outros grupos e já estavam fortalecendo suas novas gangues.
Como qualquer indústria, o cenário cibercriminoso russo é repleto de pessoas que trabalharam juntas ou competiram umas contra as outras por anos. O Black Basta foi capaz de se estabelecer tão rapidamente porque muitos de seus membros estavam envolvidos em operações cibercriminosas anteriores, incluindo o longo grupo de cibercriminosos Conti. O Conti é um grupo bem conhecido por causa de outro incidente de vazamento interno em 2022 que expôs seu funcionamento interno e laços com o Kremlin. Após a morte do Conti, os pesquisadores rastrearam seus membros enquanto se dispersavam e começavam novos grupos de hacking, incluindo o Black Basta.
Embora o Black Basta não seja único em suas táticas e métodos, os pesquisadores dizem que o grupo é notável por suas habilidades técnicas e profundidade de experiência cibercriminoso, o que lhe permitiu ultrapassar os limites das abordagens que um grupo de ransomware pode adotar.
“As pessoas por trás do Black Basta estiveram em muitas redes e têm muita experiência”, diz Liska da Recorded Future. “Eles não são o grupo mais prolífico, mas eu acho que são um dos grupos mais perigosos porque são tão habilidosos.”
Os vazamentos de fevereiro revelaram, por exemplo, que o Black Basta desenvolveu uma ferramenta para infiltrar automaticamente dispositivos de rede como roteadores que tinham senhas facilmente adivinháveis. Automatizar uma ferramenta para adivinhar senhas não é uma capacidade revolucionária, mas é o tipo de projeto que muitos grupos de ransomware não pensariam em realizar ou ter a capacidade de desenvolver internamente.
Em um relatório na semana passada analisando as comunicações vazadas do Black Basta, pesquisadores da empresa de segurança Trustwave escreveram: “As mensagens mostram como os membros exibem notável autonomia e criatividade, adaptando-se rapidamente a cenários de segurança em evolução.”
O vazamento do Black Basta é um acervo de 200.000 mensagens e outros dados aparentemente retirados do servidor de bate-papo Matrix do grupo, bestflowers247.online, por um usuário identificado como “ExploitWhispers”. O tesouro inclui o texto das comunicações do grupo, além de carimbos de data/hora, detalhes de remetente e destinatário, e outros metadados. A identidade e a motivação de “ExploitWhispers” são desconhecidas, mas ele alegou ter vazado os dados porque o Black Basta teria atacado bancos russos, violando a regra não escrita de que os cibercriminosos podem operar na Rússia impunemente desde que não ataquem organizações russas.
Embora a exposição que veio com os vazamentos tenha sido um golpe mortal para o Black Basta como um grupo, é mais provável que seja um revés do que uma derrota permanente para seus membros.
“Nós não vimos os líderes do Black Basta se reorganizarem, mas eles vão continuar a trabalhar, eles vão continuar a operar”, diz Liska da Recorded Future. “Ainda há dinheiro demais nisso para não o fazerem. E os atores de ransomware são criaturas de hábito como qualquer um.”
Bohuslavskiy da RedSense acrescenta que ele já viu sinais de membros do Black Basta aparecendo em outras gangues ativas, incluindo “BlackSuit”, “INC”, “Lynx”, “Cactus” e “Nokoyawa”.
“Agora que o Black Basta acabou, muitas das pessoas migraram, e há vários outros grupos de ransomware que estão recebendo infusões de talento do Black Basta.”