O erro do Black Basta: a exploração dos chats vazados da gangue

Resumo sobre ameaças - 17 de março de 2025

Índice

Visão geral

Cloudforce One disseca os TTPs do Black Basta

Como se proteger

Indicadores de comprometimento


Visão geral

O Black Basta, um notório grupo de ransomware ligado às empresas criminosas Ryuk e Conti, foi exposto quando um vazamento de seu servidor de chat, Matrix, surgiu em um canal do Telegram. O servidor de chat, hospedado no domínio bestflows247[.]online, foi vazado por um usuário conhecido como ExploitWhispers. Os arquivos vazados continham documentos JSON detalhando carimbos de data/hora, informações do remetente e destinatário, IDs de threads e conteúdo de mensagens. Esses dados fornecem informações acionáveis sobre as operações do grupo, ajudando a identificar as principais contas e domínios usados por seus membros.

Os dados de chats vazados não apenas oferecem informações sobre o funcionamento interno do Black Basta, mas também esclarecem o ecossistema de ransomware mais amplo. Entender como o grupo navega nesse ecossistema fornece uma perspectiva valiosa sobre sua escala e capacidades, com vários métodos disponíveis para avaliar sua eficácia e impacto. Uma abordagem é analisar as transações de criptomoedas atribuídas à empresa criminosa. Kaitlin Martin, da empresa de inteligência de blockchain Chainalysis, destacou esse mesmo ponto em referência ao vazamento do Black Basta:

“Dados dentro e fora da cadeia dentro dos chats vazados do Black Basta mostram como o grupo depende de vários serviços web, serviços de terceiros e fóruns da dark web para suas operações. Os pagamentos a esses serviços feitos não apenas pelo Black Basta, mas também por outros grupos de ransomware, demonstram até que ponto esses serviços fazem parte da infraestrutura crítica do ecossistema de ransomware.”

Ao examinar transações financeiras e dependências operacionais, os pesquisadores podem entender melhor o ecossistema no qual esses grupos operam e se sustentam.

Um aspecto fundamental desse ecossistema é como as gangues de ransomware selecionam suas vítimas. Embora seja certamente verdade que alguns setores e regiões do mundo são afetados de forma desproporcional, parece que as gangues de ransomware não estão selecionando vítimas específicas, mas sim selecionando as vítimas entre um pool de máquinas já comprometidas. As gangues de ransomware se coordenam com equipes criminosas que infectam milhares de máquinas diariamente e, em seguida, analisam a lista de sistemas comprometidos para identificar aqueles que pertencem a empresas com bons recursos financeiros.

Em muitos casos, as gangues de ransomware compram o acesso inicial aos hosts das vítimas de intermediários que vasculham enormes coleções de credenciais negociadas e vendidas em mercados e fóruns criminosos. Essas credenciais, coletadas por ladrões de informações como o LummaC2, geralmente pertencem a contas de sistemas de acesso remoto como RDWeb, Citrix e VPNs baseadas em navegador. Compreender esse processo de seleção destaca a importância de uma segurança de credenciais robusta, segmentação de rede e monitoramento proativo de ameaças para interromper as operações de ransomware antes que elas se tornem ataques em grande escala.

Antes do vazamento, o Black Basta executava operações de ransomware altamente eficazes, violando várias empresas e causando milhões de dólares em danos e pagamentos de resgate. Os dados do chat vazados fornecem conhecimento sobre as táticas, técnicas e procedimentos (TTPs) do grupo, oferecendo visibilidade de suas operações. Usando esses dados, a Cloudflare rastreou a atividade do Black Basta e revelou insights exclusivos sobre sua infraestrutura e métodos de ataque. As organizações podem aproveitar essas informações para fortalecer sua compreensão sobre gangues de ransomware, como o Black Basta, para melhorar suas defesas e antecipar proativamente seus próximos movimentos, reduzindo o risco de serem vítimas de ataques futuros.

Cloudforce One disseca os TTPs do Black Basta

Quando o Cloudforce One obteve o arquivo bestflows.json, primeiro enumeramos todas as infraestruturas mencionadas nos chats, focando naquelas em que tínhamos visibilidade exclusiva. Durante este processo, identificamos técnicas empregadas pelo Black Basta para facilitar a exfiltração de dados e ocultar sua infraestrutura remota. Realizamos uma análise minuciosa dessa infraestrutura para avaliar seu possível impacto. Nossa investigação confirmou que muitos dos domínios mencionados nos chats não foram usados, sugerindo que foram criados preventivamente para tarefas operacionais que nunca se materializaram.

O Black Basta seguiu um processo consistente para configurar contas com provedores de infraestrutura. Os membros do grupo regularmente compartilhavam detalhes da criação de contas no chat, incluindo nomes, endereços postais e credenciais de login. Eles usaram domínios com aparência corporativa para endereços de e-mail em vez de aproveitar serviços de e-mail gratuitos. Quando gerenciavam sua infraestrutura, eles se conectavam a partir de uma variedade de redes e confiavam de forma inconsistente em serviços de anonimato. Embora suas senhas fossem razoavelmente complexas, eles frequentemente reutilizavam as mesmas em várias contas.

Depois de concluir a investigação sobre a infraestrutura do Black Basta, revisamos atentamente os chats para analisar seus métodos para acesso inicial, táticas pós-exploração e estratégias de negociação. O Black Basta aproveitou ativamente um malware precursor como o Qakbot para se infiltrar em um grande número de máquinas em todo o mundo. Depois de obter acesso, eles identificaram alvos de alto valor por meio de tarefas pós-exploração, incluindo técnicas bem conhecidas como instalação de beacons persistentes, enumeração de diretórios e escala de privilégios.

Em alguns casos, eles violaram sistemas usando outros métodos que envolviam credenciais coletadas por um ladrão de informações. O Cloudforce One descobriu algumas das contas associadas em coleções de credenciais negociadas e compartilhadas livremente em canais do Telegram dedicados a logs de roubo de informações. Um exemplo de mensagem do Telegram envolvendo uma dessas contas comprometidas é mostrada na imagem abaixo.

A confiança do Black Basta em roubo de credenciais e malware ressalta a natureza interconectada do ecossistema de ransomware, um ecossistema que prospera não apenas com o acesso inicial, mas também com a infraestrutura financeira que sustenta suas operações. Os pagamentos de resgate fluem por meio de criptomoedas, principalmente Bitcoin. Os chats vazados contêm vários endereços de criptomoedas que podem servir como destinos de pagamento, que podem ser agrupados com outros endereços para analisar a pegada financeira e o impacto do Black Basta.

O grupo também faz referência a criptomoedas ao organizar pagamentos para infraestrutura, com os solicitantes especificando o valor e, às vezes, oferecendo várias opções de pagamento em criptomoedas. Isso reflete as práticas observadas nos vazamentos de chat da Conti de 2022, onde os membros da equipe sempre pediam aos gerentes que fizessem pagamentos em criptomoedas para servidores privados virtuais, nomes de domínio e serviços de VPN.

Como se proteger

Muitos periódicos e blogs oferecem recomendações de mitigação de ransomware, mas muitas vezes não abordam as causas raiz dos incidentes. Os grupos de ransomware normalmente obtêm acesso inicial por meio de alguns métodos principais:

  • Roubo e revenda de credenciais: os ladrões de informações coletam credenciais de acesso remoto, que depois são vendidas a intermediários de acesso inicial. Esses intermediários, por sua vez, os vendem para gangues de ransomware.

  • Implantação de malware precursor: os agentes de ameaças distribuem malware como Qakbot e ICedID por meio de amplas campanhas de spam. Em seguida, eles identificam alvos de ransomware de alto valor nas máquinas infectadas. Os invasores geralmente entregam esse malware por meio de anexos de e-mail com scripts incorporados ou links para arquivos que contêm scripts, que baixam e executam conteúdo malicioso.

  • Explorar dispositivos de borda vulneráveis: os grupos de ransomware frequentemente exploram vulnerabilidades não corrigidas em firewalls, dispositivos de VPN e serviços de compartilhamento de arquivos para obter acesso não autorizado. Muitos incidentes de ransomware se originam desses pontos fracos.

Siga estas recomendações para reduzir sua exposição ao ransomware:

  • Desativar senhas armazenadas em navegadores: as empresas que fornecem um gerenciador de senhas organizacionais devem impedir que os usuários salvem credenciais em navegadores web.

  • Proteger sistemas de acesso remoto: exigir autenticação multifator (MFA) para RDP, RDWeb, Citrix, VPNs e outros serviços de acesso remoto expostos à internet.

  • Educar os usuários sobre softwares falsificados: o software ilegítimo é a principal fonte de ladrões de informações que coletam credenciais que mais tarde são vendidas a intermediários de acesso inicial.

  • Filtrar anexos de e-mail com atenção: bloquear anexos com conteúdo ativo, como macros ou scripts, para evitar a distribuição de malware.

  • Bloquear macros do Office arriscadas: impedir a execução de macros em documentos do Office sinalizados com a marca da web, que indica que foram baixados da internet.

  • Denunciar abuso nas redes da Cloudflare: se você identificar atividades suspeitas, denuncie na Central de confiança da Cloudflare.

Indicadores de comprometimento

A lista de domínios a seguir, extraída dos registros de chat do Black Basta, está associada a malware e exfiltração de dados. Embora alguns desses domínios tenham estado ativos no passado e seja improvável que apareçam no tráfego futuro, a realização de uma análise retrospectiva pode ajudar a identificar quaisquer conexões históricas. A detecção de atividades anteriores associadas a esses domínios pode indicar uma comunicação do malware com um servidor de comando e controle.

A tabela inclui alguns dos domínios e endereços de IP proeminentes encontrados nos chats vazados, mas fornece apenas uma amostra dos indicadores do Black Basta rastreados pelo Cloudforce One. Para obter uma lista completa de indicadores juntamente com o contexto acionável adicional, consulte a plataforma de eventos de ameaças do Cloudforce One.

Sobre o Cloudforce One

A missão da Cloudflare é ajudar a construir uma internet melhor. E uma internet melhor só pode existir com forças do bem que detectam, interrompem e degradam os agentes de ameaças que buscam corroer a confiança e distorcer a internet para ganhos pessoais ou políticos. Conheça o Cloudforce One, a equipe dedicada da Cloudflare, formada por pesquisadores de ameaças reconhecidos mundialmente, encarregada de publicar inteligência contra ameaças de modo a dotar as equipes de segurança do contexto necessário para tomar decisões rápidas e confiantes. Identificamos e nos defendemos contra ataques com insights únicos que ninguém mais possui.

A base da nossa visibilidade é a rede global da Cloudflare, uma das maiores do mundo, que abrange cerca de 20% da internet. Nossos serviços são adotados por milhões de usuários em todos os cantos da internet, o que nos dá uma visibilidade incomparável dos eventos globais, incluindo os ataques mais interessantes à internet. Esse ponto de vantagem permite que o Cloudforce One execute reconhecimento em tempo real, interrompa ataques a partir do ponto de lançamento e transforme a inteligência em sucesso tático.

Receba atualizações do Cloudforce One

Assine

Recursos relacionados

Inside LameDuck - illustration
Investigando o LameDuck: uma análise das operações de ameaças do Anonymous Sudan

Relatório sobre ameaças

Unraveling SloppyLemming’s Operations Across South Asia
Desvendando as operações da SloppyLemming no Sul da Ásia

Relatório sobre ameaças

Freight fraud surge: global supply chain compromises
Freight fraud surge: global supply chain compromises

Instantâneo da campanha

Comece a usar

Recursos

Soluções

Comunidade

Suporte

Empresa

© 2025 Cloudflare, Inc.Política de privacidadeTermos de UsoDenuncie problemas de segurançaConfiança e segurançaMarca registradaImpressum