Já imaginou ter acesso aos bastidores de uma das maiores quadrilhas de ransomware do mundo? Recentemente, mensagens internas do grupo Black Basta vazaram, revelando segredos e disputas internas. Prepare-se para mergulhar nesse universo obscuro do cibercrime!
Centenas de milhares de mensagens internas do grupo de ransomware Black Basta foram vazadas por um usuário do Telegram, fazendo com que pesquisadores de segurança se apressassem em suas melhores traduções de russo.
Um usuário com o nome de “ExploitWhispers” carregou os chats na forma de um arquivo JSON com quase 50MB de tamanho para o Mega, que desde então removeu o link de download. A comunidade de inteligência de ameaças cibernéticas (CTI) correu para esse raro achado de informações para obter todos os insights possíveis.
O Que as Mensagens Revelaram?
A equipe de inteligência de ameaças da PRODAFT declarou na quinta-feira que os chats, vazados em 11 de fevereiro, seguiram um conflito interno, impulsionado principalmente por uma figura dentro da organização. A inatividade do Black Basta desde o início do ano se deve a essas disputas internas.
O conflito foi liderado por “Tramp” (LARVA-18), um conhecido agente de ameaças que opera uma rede de spam responsável pela distribuição do Qbot. Sendo uma figura-chave no Black Basta, suas ações tiveram um grande impacto na instabilidade do grupo.
Detalhes Revelados nos Chats:
Pedidos de resgate chegaram a dezenas de milhões de dólares.
O grupo cobrava cerca de US$ 1 milhão por um ano de acesso ao seu programa de carregamento (loader).
Um afiliado era uma criança de 17 anos.
O Black Basta fazia grandes esforços para obter exploits de VPN.
Mantinha uma planilha de potenciais vítimas, que não eram selecionadas aleatoriamente.
Após o sucesso do Scattered Spider com engenharia social, seus afiliados adotaram técnicas semelhantes usando ligações telefônicas para entrar em contato com funcionários das empresas.
Membros importantes da quadrilha não confiavam em “Mr. LockBit”.
Era sabido dentro do grupo que seu ransomware era menos eficaz do que o de seus rivais, o que levou alguns afiliados a se juntar ao ransomware Cactus.
Um analista de CTI da PRODAFT também detalhou as figuras principais do grupo, afirmando que um personagem chamado “Tramp” era provavelmente o líder.
Ele e Bio trabalhavam juntos no Conti, que também sofreu um vazamento de chats internos infame em 2022.
Lapa é um dos principais administradores, mas parece receber um salário muito menor que outros membros seniores e é frequentemente insultado por seu chefe.
YY é outro administrador principal e recebe “um bom salário”. Sob a supervisão de Lapa e YY, o grupo atacou bancos russos, o que provavelmente atraiu a atenção das autoridades russas.
As mensagens vazadas abrangem de 18 de setembro de 2023 a 28 de setembro de 2024. O período sugere que informações relacionadas a muitos ataques de alto perfil podem estar escondidas nelas, incluindo ataques a empresas como Southern Water (Reino Unido), Synlab Italia, Ascension (rede de saúde católica dos EUA), Willis Lease Finance, Duvel Moortgat (Bélgica), Hyundai Europe, Veolia North America, a alfândega do governo do Chile e a Biblioteca Pública de Toronto.
O Black Basta era conhecido por mirar em organizações de infraestrutura crítica nacional, então o fato de tantas aparecerem na lista e de os pesquisadores confirmarem que sua planilha de “alvos” não era oportunista não é uma surpresa.
Para aqueles que querem examinar os registros, a Hudson Rock criou o BlackBastaGPT, uma ferramenta interativa alimentada pelo ChatGPT que permite aos pesquisadores descobrir detalhes dos chats.
Conclusão
O vazamento dos chats internos do Black Basta trouxe à tona uma visão sem precedentes do funcionamento interno de uma quadrilha de ransomware, revelando conflitos, estratégias e até a idade de alguns de seus membros. A análise dessas informações é crucial para a compreensão das táticas de cibercriminosos e para o desenvolvimento de estratégias de defesa mais eficazes.
Compartilhe suas experiências e reflexões sobre esse caso de cibercrime nos comentários!
Fonte: The Register
