Um vazador desconhecido divulgou o que afirma ser um arquivo de logs de chat internos do Matrix pertencentes à operação de ransomware Black Basta.
ExploitWhispers, o indivíduo que anteriormente subiu as mensagens roubadas para a plataforma de compartilhamento de arquivos MEGA, que agora foram removidas, carregou-o para um canal dedicado no Telegram.
Ainda não está claro se ExploitWhispers é um pesquisador de segurança que obteve acesso ao servidor de chat interno da gangue ou um membro descontente.
Embora nunca tenham compartilhado o motivo por trás dessa ação, a empresa de inteligência de ameaças cibernéticas PRODAFT disse hoje que o vazamento poderia ser o resultado direto dos supostos ataques da gangue de ransomware visando bancos russos.
"Como parte do nosso monitoramento contínuo, observamos que o BLACKBASTA (Mantis Vingativo) tem estado majoritariamente inativo desde o início do ano devido a conflitos internos.
Alguns de seus operadores enganaram vítimas coletando pagamentos de resgate sem fornecer decryptors funcionais," disse a PRODAFT.
No dia 11 de fevereiro de 2025, um grande vazamento expôs os logs de chat internos do Matrix do BLACKBASTA.
O vazador afirmou que liberou os dados porque o grupo estava visando bancos russos.
Este vazamento se assemelha muito aos vazamentos anteriores do Conti.
O arquivo vazado contém mensagens trocadas nos chats internos do Black Basta entre 18 de setembro de 2023 e 28 de setembro de 2024.
A análise das mensagens mostra que elas contêm uma ampla gama de informações, incluindo templates de phishing e e-mails para enviá-los, endereços de criptomoedas, drops de dados, credenciais de vítimas e confirmação de táticas que já relatamos anteriormente.
Os chats vazados também contêm 367 links únicos do ZoomInfo, que indicam o número provável de empresas visadas durante esse período.
Gangues de ransomware comumente usam o site ZoomInfo para compartilhar informações sobre uma empresa alvo, internamente ou com vítimas durante negociações.
ExploitWhispers também compartilhou informações sobre alguns membros da gangue de ransomware Black Basta, incluindo Lapa (um dos admins da operação), Cortes (um ator de ameaça ligado ao grupo Qakbot), YY (o principal administrador do Black Basta), e Trump (também conhecido como GG e AA) acredita-se ser Oleg Nefedovaka, o chefe do grupo.
A operação Ransomware-as-a-Service (RaaS) Black Basta surgiu em abril de 2022 e reivindicou muitas vítimas de alto perfil em todo o mundo, incluindo empresas de saúde e contratantes governamentais.
Algumas de suas vítimas incluem o contratante de defesa alemão Rheinmetall, a divisão europeia da Hyundai, BT Group (anteriormente British Telecom), o gigante da saúde dos EUA Ascension, o contratante governamental ABB, a American Dental Association, a firma britânica de terceirização de tecnologia Capita, a Biblioteca Pública de Toronto e as Páginas Amarelas do Canadá.
Como a CISA e o FBI revelaram em um relatório conjunto emitido em maio passado, os afiliados do Black Basta violaram mais de 500 organizações entre abril de 2022 e maio de 2024.
De acordo com uma pesquisa conjunta da Corvus Insurance e da Elliptic, a gangue de ransomware também coletou uma estimativa de $100 milhões em pagamentos de resgate de mais de 90 vítimas até novembro de 2023.
Em fevereiro de 2022, um pesquisador de segurança ucraniano também vazou mais de 170.000 conversas de chat internas e o código-fonte para o encryptor de ransomware Conti online após o infame sindicato de cibercrime baseado na Rússia, Conti, se posicionar ao lado da Rússia após a invasão da Ucrânia.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...