Registros vazados revelam segredos de grupo de ransomware

Mais de um ano de conversas internas de um dos coletivos de ransomware mais atuantes do mundo foi divulgado online, revelando táticas, segredos operacionais e desentendimentos entre seus integrantes.

As mensagens vazadas consistem em mais de 200.000 registros trocados pelos membros do Black Basta na plataforma de bate-papo Matrix, entre setembro de 2023 e setembro de 2024, conforme informaram os pesquisadores. A pessoa responsável pelo vazamento alegou que a ação foi uma retaliação ao fato de o Black Basta ter como alvo bancos russos. A identidade do responsável é desconhecida, assim como não está claro se se trata de um integrante do grupo ou de alguém externo que conseguiu acessar os arquivos sigilosos.

Leia também

Quando o inimigo está dentro

No ano passado, o FBI e a Agência de Segurança Cibernética e de Infraestrutura afirmaram que o Black Basta atacou 12 dos 16 setores críticos da infraestrutura dos EUA, atingindo cerca de 500 organizações globalmente. Um ataque de grande repercussão teve como alvo a Ascension, uma rede hospitalar sediada em St. Louis, com 140 unidades em 19 estados. Outras vítimas incluem a Hyundai Europe, a empresa britânica de terceirização Capita, a Agência Aduaneira do Governo Chileno e a fornecedora de serviços públicos do Reino Unido, Southern Water. O grupo de língua russa está ativo desde pelo menos 2022.

“Os chats internos do Black Basta foram expostos, provando novamente que os cibercriminosos são seus próprios inimigos”, escreveu um membro da empresa de segurança Prodraft na quinta-feira. “Continuem destruindo nossas fontes de inteligência, não nos importamos.”

Pesquisadores que analisaram os textos em russo relataram que o vazamento revelou tensões dentro da organização, agravadas após a prisão de um de seus líderes, aumentando o receio de que outros membros possam ser rastreados. O clima de desconfiança gerou atritos entre o atual líder, identificado como Oleg Nefedov, e seus subordinados. Um dos desentendimentos envolveu a decisão de atacar um banco na Rússia, o que colocou o Black Basta na mira das autoridades do país.

“Os interesses financeiros pessoais de Oleg, o chefe do grupo, estão determinando as operações, sem considerar o bem da equipe”, afirmou um pesquisador da Prodraft. “Sob sua liderança, houve um ataque de força bruta contra a infraestrutura de bancos russos. Até o momento, nenhuma medida foi tomada pelas autoridades, o que pode se tornar um problema sério e gerar reações do governo.”

O material vazado também revelou informações sobre outros integrantes do grupo, incluindo dois administradores conhecidos como Lapa e YY, além de Cortes, um agente de ameaças ligado ao grupo de ransomware Qakbot. Além disso, mais de 350 links exclusivos do ZoomInfo, um serviço em nuvem que fornece dados sobre empresas e profissionais, foram expostos. Os links mostram como os membros do Black Basta utilizaram a plataforma para investigar seus alvos.

A empresa de segurança Hudson Rock já inseriu as transcrições do bate-papo no ChatGPT para criar o BlackBastaGPT, um recurso que auxilia pesquisadores a entender melhor as operações do Black Basta.