{"id":498370,"date":"2025-02-27T11:02:50","date_gmt":"2025-02-27T14:02:50","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2025\/02\/27\/hackers-do-black-basta-deixam-o-grupo-e-migram-para-rivais\/"},"modified":"2025-02-27T11:02:50","modified_gmt":"2025-02-27T14:02:50","slug":"hackers-do-black-basta-deixam-o-grupo-e-migram-para-rivais","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2025\/02\/27\/hackers-do-black-basta-deixam-o-grupo-e-migram-para-rivais\/","title":{"rendered":"Hackers do Black Basta deixam o grupo e migram para rivais"},"content":{"rendered":"<p>O grupo de ransomware Black Basta vazou seus chats internos, registrados em russo na plataforma Matrix. As mensagens cobrem setembro de 2023 a setembro de 2024 e foram divulgadas em 11 de fevereiro de 2025 pelo usu\u00e1rio ExploitWhispers. O motivo do vazamento aponta para uma ofensiva contra bancos russos. O grupo utilizava o malware QakBot e operava desde abril de 2022.<\/p>\n<p>At\u00e9 o fim de 2023, o Black Basta teria arrecadado cerca de US$ 107 milh\u00f5es em Bitcoin, de mais de 90 v\u00edtimas, afetando 500 empresas e infraestruturas cr\u00edticas na Am\u00e9rica do Norte, Europa e Austr\u00e1lia. A postagem de dados sinaliza conflitos internos que contribu\u00edram para o reagrupamento de membros.<\/p>\n<p>Segundo a PRODAFT, a atividade do grupo est\u00e1 inativa desde o in\u00edcio de 2025 por disputas internas. Alguns operadores migraram para CACTUS e Akira, enquanto outros lidavam com cobran\u00e7as de resgates sem fornecimento de descriptografadores. Entre os nomes citados nos chats, estavam Lapa, YY, Cortes, Trump e um afiliado com 17 anos.<\/p>\n<h3>Mudan\u00e7as internas e opera\u00e7\u00f5es descobertas<\/h3>\n<p>Os registros indicam mudan\u00e7as de lideran\u00e7a, com Trump \u2014 identificado como Oleg Nefedov \u2014 \u00e0 frente do grupo, e a tentativa de Cortes, ligado ao QakBot, de afastamento ap\u00f3s ataques a bancos russos. A divulga\u00e7\u00e3o tamb\u00e9m aponta uso de engenharia social nos ataques.<\/p>\n<p>A an\u00e1lise da Qualys revela t\u00e9cnicas de invas\u00e3o que exploram falhas conhecidas, configura\u00e7\u00f5es inadequadas e credenciais roubadas, incluindo servi\u00e7os RDP expostos e VPNs com senhas fracas. Em distribui\u00e7\u00e3o de malware, o grupo recorria a plataformas leg\u00edtimas como transfer.sh e send.vis.ee para evitar detec\u00e7\u00e3o.<\/p>\n<h3>Contexto e impactos<\/h3>\n<p>O vazamento coincide com aumento de a\u00e7\u00f5es de outros grupos, como Cl0p, que amea\u00e7a divulgar dados de v\u00edtimas ap\u00f3s explorar CVE-2024-50623. A CISA apontou maior atividade do Ghost, alvo de empresas em mais de 70 pa\u00edses. A VulnCheck mapeou 62 CVEs citadas nos chats, com 53 exploradas ativamente.<\/p>\n<p>O relat\u00f3rio destaca ainda que o Black Basta priorizava grandes empresas e softwares amplamente utilizados, como Citrix NetScaler, Confluence Atlassian e Microsoft Windows, ampliando o alcance de seus ataques. As informa\u00e7\u00f5es refor\u00e7am a necessidade de refor\u00e7ar seguran\u00e7a, monitorar credenciais e atualizar sistemas cr\u00edticos.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Hackers do Black Basta abandonaram o grupo e migraram para os rivais CACTUS e Akira; conflitos internos deixaram o grupo inativo desde o in\u00edcio de 2025.<\/li>\n<li>Conversas internas, em russo na plataforma Matrix, de setembro de 2023 a setembro de 2024, vazadas em 11 de fevereiro de 2025 pelo usu\u00e1rio ExploitWhispers.<\/li>\n<li>At\u00e9 o final de 2023, o Black Basta teria levantado cerca de US$ 107 milh\u00f5es em Bitcoin de mais de 90 v\u00edtimas, atingindo 500 empresas e infraestruturas cr\u00edticas na Am\u00e9rica do Norte, Europa e Austr\u00e1lia.<\/li>\n<li>No material vazado, aparecem o l\u00edder Oleg Nefedov, conhecido como Trump, e administradores Lapa e YY; Cortes (QakBot) tentou se afastar ap\u00f3s ataques a bancos russos; um afiliado tinha 17 anos.<\/li>\n<li>A Qualys aponta que o grupo explorava falhas conhecidas, credenciais roubadas e configura\u00e7\u00f5es inadequadas, abusava de RDP exposto e VPNs com senhas fracas, e usava plataformas leg\u00edtimas como transfer.sh e send.vis.ee para distribuir malwares.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":498380,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Hackers do Black Basta deixam o grupo e migram para rivais ap\u00f3s conflitos internos; inativo desde o in\u00edcio de dois mil e vinte e cinco, arrecadaram US$ 107 milh\u00f5es em Bitcoin de mais de noventa v\u00edtimas","footnotes":""},"categories":[296,1],"tags":[84,102,86,229,189],"class_list":["post-498370","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-conflitos","tag-internet","tag-organizacao-criminosa","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/498370","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=498370"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/498370\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/498380"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=498370"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=498370"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=498370"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}