Vazamento massivo do Black Basta expõe o funcionamento interno de um gigante do ransomware

Em um desenvolvimento raro e surpreendente, um tesouro de registros de bate-papo internos da gangue de ransomware Black Basta vazou online, oferecendo uma visão sem precedentes dos bastidores de uma das organizações cibercriminosas mais perigosas que operam hoje. O vazamento já está sendo comparado aos infames vazamentos Conti do início de 2022, que expuseram as operações internas de outro notório sindicato de ransomware.

Esta última revelação, divulgada publicamente em 20 de fevereiro de 2025, vem de um denunciante conhecido como ExploitWhispers, que supostamente divulgou um arquivo JSON de 47 MB contendo mais de 200.000 mensagens de bate-papo trocadas por membros do Black Basta. Os bate-papos cobrem um ano inteiro de atividade, de setembro de 2023 a setembro de 2024, e agora estão sendo meticulosamente analisados por pesquisadores de segurança cibernética em todo o mundo.

Por que Black Basta foi exposto?

De acordo com mensagens compartilhadas com o vazamento, a motivação para a exposição pode vir da decisão da Black Basta de mirar em bancos russos — um movimento que, no mundo do crime cibernético de língua russa, é frequentemente considerado um erro imperdoável. Se for preciso, isso explicaria por que um insider decidiu vazar material tão sensível.

Além disso, a empresa de inteligência de ameaças Prodaft observa que o Black Basta está praticamente inativo desde o início de 2025, supostamente devido a disputas internas. Com o caos se formando nos bastidores, o vazamento adiciona outra camada de incerteza sobre o futuro do grupo.

O que os chats vazados revelam

O vazamento não é apenas um vislumbre fascinante das personalidades e conversas cotidianas dos operadores do Black Basta — é um modelo de como a gangue executa seus ataques, seleciona alvos e explora vulnerabilidades.

As empresas de segurança VulnCheck e Qualys já publicaram descobertas iniciais, focando nos detalhes técnicos enterrados nos logs. De acordo com a análise da VulnCheck, os chats mencionam 62 CVEs (Common Vulnerabilities and Exposures) exclusivos, com alguns sendo discutidos poucos dias após sua divulgação pública e alguns até mesmo antes de serem oficialmente publicados.

Mais alarmante ainda, os logs sugerem que o Black Basta não está apenas contando com exploits publicamente conhecidos. Há evidências claras de que o grupo tem recursos para desenvolver novos exploits e tem debatido a compra de vulnerabilidades exclusivas de outros atores de ameaças.

A Qualys deu um passo além, compilando uma lista de prioridades para defensores, incluindo:

  • Os 20 principais CVEs que exigem correção imediata.
  • As 10 principais configurações incorretas frequentemente exploradas pelo Black Basta.
  • Um apêndice completo de todas as vulnerabilidades mencionadas no vazamento.

Para as equipes de segurança, esse vazamento oferece uma rara oportunidade de entender exatamente quais pontos fracos são mais atraentes para os operadores de ransomware e priorizar as defesas adequadamente.

Um estudo de caso em operações de ransomware

Além das vulnerabilidades, pesquisadores como Kela e BushidoToken analisaram o manual operacional do grupo. Um exemplo detalhado envolve um ataque de 2023 a uma empresa brasileira, que começou com credenciais roubadas por malware infostealer. Em apenas dois dias, o Black Basta comprometeu a rede, roubou dados confidenciais e implantou ransomware. Os métodos do grupo — acesso inicial por meio de credenciais comprometidas, movimentação lateral rápida, exfiltração de dados e extorsão pública — ilustram uma abordagem altamente refinada e em escala industrial para extorsão cibernética.

Essas informações confirmam que o Black Basta opera como um negócio bem-sucedido, criando perfis de vítimas usando ferramentas como o ZoomInfo para avaliar valores de resgate e táticas de pressão.

Conflito interno e crise de consciência

Uma das revelações mais inesperadas do vazamento é o lado humano dos atacantes. Durante o ataque de 2024 à Ascension Health, mensagens de bate-papo revelam desconforto crescente dentro do grupo conforme as consequências de suas ações se tornam claras.

Diante da possibilidade de prejudicar pacientes, incluindo casos de cuidados críticos, os membros debateram se deveriam fornecer um descriptografador gratuito e excluir dados roubados. Comentários de figuras-chave como 'tinker' e 'gg' mostram uma consciência aguda de que acabar com as operações de um hospital poderia evoluir de crime cibernético para acusações de terrorismo se vidas fossem perdidas.

Em uma atitude rara, Black Basta não apenas forneceu uma chave de descriptografia gratuita, mas também supostamente excluiu os dados roubados, sinalizando um momento incomum de autopreservação — ou talvez até mesmo de moralidade.

O Black Basta está à beira do colapso?

Com toda essa turbulência, alguns especialistas especulam que o grupo pode estar seguindo o mesmo caminho do Conti, que se desfez após seus próprios vazamentos internos e ressurgiu sob novos nomes. Vários comentários vazados sugerem que o Black Basta já estava considerando uma reformulação completa da marca devido à pressão crescente da polícia e do público.

Embora isso ainda seja especulação por enquanto, a ideia de Black Basta desaparecer e ressurgir sob um pseudônimo diferente em algum momento de 2025 está se tornando mais plausível a cada dia que passa.

O que isto significa para os defensores

Esse vazamento é mais do que apenas um drama de crime cibernético: é uma informação útil.
Para as equipes de segurança, o vazamento do Black Basta oferece:

  • Correção de vulnerabilidades priorizada com base na exploração do mundo real.
  • Visão geral dos cronogramas e métodos de ataque.
  • Compreensão da dinâmica interna do grupo que pode sinalizar mudanças no cenário de ransomware.

As organizações devem agir agora para revisar os CVEs e as configurações incorretas expostas no vazamento, fortalecer as defesas e permanecer vigilantes. Embora o Black Basta possa estar enfrentando dificuldades internas, o ransomware como um todo continua sendo uma ameaça persistente e em evolução.

Considerações finais

O vazamento do Black Basta serve tanto como um conto de advertência quanto como uma vantagem estratégica para os defensores da segurança cibernética. Ele confirma que mesmo as gangues de ransomware mais sofisticadas não são imunes a conflitos internos, erros humanos e exposição.

Mas não se engane: não importa se o Black Basta se desfaz, muda de nome ou continua, os métodos e vulnerabilidades revelados nesses bate-papos alimentarão as operações de ransomware muito além de 2025.

A melhor defesa agora é conscientização, preparação e ação rápida.

Por Zane
March 7, 2025
Computer Security
Portuguese
March 7, 2025
Computer Security

Postagens Populares

O que é o arquivo OperaGXSetup.exe e ele é malicioso?

11 months atrás

Eporner.com e por que seus pop-ups excessivos são arriscados

12 days atrás

Tome nota: alguém adicionou você como golpe de e-mail de...

10 months atrás

HackTool:Win32/Crack: uma ameaça maliciosa que pode danificar...

7 months atrás

Uma ameaça potencialmente séria: Trojan:Win32/Suschil!rfn

19 days atrás

O que é a ameaça do cavalo de Tróia Packunwan e como ela pode...

11 months atrás
Portuguese
Carregando…

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Página Inicial

Produtos

Cyclonis Password Manager Cyclonis World Time

Suporte

Arquivos de Ajuda PFs Downloads Perguntas e Suporte

Empresa

Sobre Nos Contate-Nos Denuncie Abuso

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de Privacidade Política dos Cookies Special Discount Offer Terms Additional Terms & Conditions CLUF do SpyHunter CLUF do RegHunter Política de Privacidade e Política de Cookies do EnigmaSoft Política de Privacidade e Política de Cookies do ESG Termos da Oferta de Desconto do EnigmaSoft Termos da Oferta de Desconto do ESG

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows é uma marca comercial da Microsoft, registrada nos Estados Unidos e em outros países.
Mac, iPhone, iPad e App Store são marcas comerciais da Apple Inc., registradas nos Estados Unidos e em outros países.
iOS é uma marca registrada da Cisco Systems, Inc. e/ou de suas afiliadas nos Estados Unidos e em alguns outros países.
Android e Google Play são marcas comerciais da Google LLC.