O infame grupo cibercriminoso Black Basta enfrenta novamente um período turbulento. A 11 de fevereiro de 2025, foram revelados registos internos das conversas do grupo na plataforma Matrix, alegadamente devido aos ataques direccionados a bancos russos. Este incidente segue um padrão já anteriormente observado no grupo Conti, evidenciando um tema recorrente no submundo do cibercrime: traição e conflitos internos.

Embora a razão exacta para estas divulgações não tenha sido divulgada, a empresa de inteligência em ameaças cibernéticas PRODAFT sugeriu que podem estar directamente relacionadas com os ataques do grupo contra instituições financeiras russas.

De acordo com a PRODAFT, o Black Basta – também conhecido como Vengeful Mantis – tem estado praticamente inactivo desde o início do ano. A principal causa? Conflitos internos e traições dentro da própria organização. Alguns operadores terão enganado vítimas, cobrando resgates sem fornecer as chaves de desencriptação funcionais, prejudicando ainda mais a reputação do grupo.

Além disso, o ransomware do Black Basta revelou-se menos eficaz em comparação com outras grandes organizações criminosas. Esta ineficiência, aliada à instabilidade na liderança, levou à deserção de vários membros importantes, que acabaram por se juntar a grupos rivais, como o Cactus Ransomware e outras operações ilícitas.

Uma figura-chave na desestabilização do Black Basta foi ‘Tramp’ (LARVA-18), um conhecido actor de ameaças responsável por gerir uma rede massiva de spam utilizada para distribuir o malware QBOT. A sua influência dentro do grupo intensificou as tensões internas, contribuindo para o colapso da organização.

A recente divulgação o das conversas do grupo segue um padrão familiar. Assim como no caso do Conti, um informador descontente com as operações decidiu expor comunicações internas sensíveis. O motivo? Retaliação contra os ataques direcionados a bancos russos.

O grupo Conti enfrentou um destino semelhante quando um membro divulgou mais de 60 mil mensagens internas em resposta ao apoio público do grupo à invasão russa da Ucrânia. Estas mensagens forneceram uma visão sem precedentes sobre as operações, transações financeiras e conflitos internos da organização. Agora, o Black Basta parece seguir o mesmo caminho, provando que nem mesmo os bandos de cibercriminosos mais temidas estão imunes à traição e à exposição pública.

Segundo 3xp0rt, um analista de inteligência em ameaças cibernéticas da PRODAFT, os registos de conversas vazadas abrangem o período de 18 de setembro de 2023 a 28 de setembro de 2024 e revelam detalhes cruciais sobre a dinâmica interna do grupo:

Lapa, um dos principais administradores, estava constantemente sobrecarregado com tarefas administrativas e frequentemente insultado pelo seu superior. Apesar do seu papel de confiança, recebia um salário significativamente mais baixo e dependia dos pagamentos dos resgates para sustento. Durante a sua administração, ataques de força bruta foram lançados contra bancos russos, levantando preocupações sobre possíveis retaliações por parte das autoridades.

Cortes, associado ao grupo Qakbot, afastou-se dos ataques contra os bancos russos e mostrou-se surpreendido pelo facto de um grupo russo atacar o seu próprio país. Isto pode explicar a ausência do Qakbot nessas operações.

YY, outro administrador, era responsável pelo suporte e recebia uma compensação generosa. No entanto, a prisão do líder do Black Basta representava um risco significativo para a organização. As operações eram aparentemente dirigidas por Oleg, o chefe do grupo, sem consideração pelos interesses da equipa.

Bio, anteriormente conhecido como “Pumba” quando trabalhava para o Conti, geria riscos elevados e disputas financeiras. A sua recente prisão pode ter causado instabilidade entre os membros do Black Basta.

Trump, GG e AA eram pseudónimos usados por Oleg Nefedov, identificado como o líder do Black Basta, de acordo com as declarações de Bio nos registos exfiltrados.

Fonte: https://socradar.io