- Hackers do Black Basta abandonaram o grupo e migraram para os rivais CACTUS e Akira; conflitos internos deixaram o grupo inativo desde o início de 2025.
- Conversas internas, em russo na plataforma Matrix, de setembro de 2023 a setembro de 2024, vazadas em 11 de fevereiro de 2025 pelo usuário ExploitWhispers.
- Até o final de 2023, o Black Basta teria levantado cerca de US$ 107 milhões em Bitcoin de mais de 90 vítimas, atingindo 500 empresas e infraestruturas críticas na América do Norte, Europa e Austrália.
- No material vazado, aparecem o líder Oleg Nefedov, conhecido como Trump, e administradores Lapa e YY; Cortes (QakBot) tentou se afastar após ataques a bancos russos; um afiliado tinha 17 anos.
- A Qualys aponta que o grupo explorava falhas conhecidas, credenciais roubadas e configurações inadequadas, abusava de RDP exposto e VPNs com senhas fracas, e usava plataformas legítimas como transfer.sh e send.vis.ee para distribuir malwares.
O grupo de ransomware Black Basta vazou seus chats internos, registrados em russo na plataforma Matrix. As mensagens cobrem setembro de 2023 a setembro de 2024 e foram divulgadas em 11 de fevereiro de 2025 pelo usuário ExploitWhispers. O motivo do vazamento aponta para uma ofensiva contra bancos russos. O grupo utilizava o malware QakBot e operava desde abril de 2022.
Até o fim de 2023, o Black Basta teria arrecadado cerca de US$ 107 milhões em Bitcoin, de mais de 90 vítimas, afetando 500 empresas e infraestruturas críticas na América do Norte, Europa e Austrália. A postagem de dados sinaliza conflitos internos que contribuíram para o reagrupamento de membros.
Segundo a PRODAFT, a atividade do grupo está inativa desde o início de 2025 por disputas internas. Alguns operadores migraram para CACTUS e Akira, enquanto outros lidavam com cobranças de resgates sem fornecimento de descriptografadores. Entre os nomes citados nos chats, estavam Lapa, YY, Cortes, Trump e um afiliado com 17 anos.
Mudanças internas e operações descobertas
Os registros indicam mudanças de liderança, com Trump — identificado como Oleg Nefedov — à frente do grupo, e a tentativa de Cortes, ligado ao QakBot, de afastamento após ataques a bancos russos. A divulgação também aponta uso de engenharia social nos ataques.
A análise da Qualys revela técnicas de invasão que exploram falhas conhecidas, configurações inadequadas e credenciais roubadas, incluindo serviços RDP expostos e VPNs com senhas fracas. Em distribuição de malware, o grupo recorria a plataformas legítimas como transfer.sh e send.vis.ee para evitar detecção.
Contexto e impactos
O vazamento coincide com aumento de ações de outros grupos, como Cl0p, que ameaça divulgar dados de vítimas após explorar CVE-2024-50623. A CISA apontou maior atividade do Ghost, alvo de empresas em mais de 70 países. A VulnCheck mapeou 62 CVEs citadas nos chats, com 53 exploradas ativamente.
O relatório destaca ainda que o Black Basta priorizava grandes empresas e softwares amplamente utilizados, como Citrix NetScaler, Confluence Atlassian e Microsoft Windows, ampliando o alcance de seus ataques. As informações reforçam a necessidade de reforçar segurança, monitorar credenciais e atualizar sistemas críticos.
Entre na conversa da comunidade