Novas pesquisas revelaram mais vínculos entre as gangues de ransomware Black Basta e Cactus, com membros de ambos os grupos utilizando os mesmos ataques de engenharia social e o malware BackConnect proxy para acesso pós-exploração a redes corporativas.
Em janeiro, a Zscaler descobriu uma amostra de malware Zloader que continha o que parecia ser uma nova funcionalidade de DNS tunneling.
Pesquisas adicionais da Walmart indicaram que o Zloader estava distribuindo um novo proxy malware chamado BackConnect que continha referências de código ao malware Qbot (QakBot).
BackConnect é um malware que atua como uma ferramenta proxy para acesso remoto a servidores comprometidos.
O BackConnect permite que cibercriminosos tunnelem tráfego, obfusquem suas atividades e escalem ataques dentro do ambiente de uma vítima sem serem detectados.
Acredita-se que tanto o Zloader, quanto o Qbot e o BackConnect estejam vinculados à operação de ransomware Black Basta, com membros utilizando o malware para invadir e se espalhar através de redes corporativas.
Esses vínculos são fortalecidos por uma recente exposição de dados do BlackBasta que expôs as conversas internas da operação, incluindo aquelas entre o gerente da gangue de ransomware e alguém que acredita-se ser o desenvolvedor do Qbot.
O Black Basta é uma gangue de ransomware que foi lançada em abril de 2022.
Acredita-se que inclua membros da gangue de ransomware Conti, que encerrou suas atividades em maio de 2022 após sofrer um vazamento de dados massivo do código-fonte e conversas internas.
A gangue de ransomware historicamente usou Qakbot para ganhar acesso inicial a redes corporativas.
No entanto, após uma operação de aplicação da lei em 2023 interromper as operações do Qbot, a operação Black Basta buscou malware alternativo para invadir redes.
A mudança para o BackConnect sugere que eles ainda estão trabalhando com os desenvolvedores conectados à operação Qbot.
Em um novo relatório da Trend Micro, pesquisadores descobriram que o grupo de ransomware Cactus também está utilizando o BackConnect em ataques, indicando uma potencial sobreposição de membros entre ambos os grupos.
Nos ataques do Black Basta e Cactus observados pela Trend Micro, os atores de ameaças utilizavam o mesmo ataque de engenharia social, bombardeando um alvo com um grande número de e-mails, tática geralmente associada ao Black Basta.
Os atores de ameaças então entravam em contato com o alvo através do Microsoft Teams, se passando por um funcionário do suporte de TI, enganando finalmente a vítima a fornecer acesso remoto via Windows Quick Assist.
Embora o fluxo de ataque para os ataques do Black Basta e Cactus não sejam idênticos, eles eram muito similares, com a Trend Micro descobrindo que o ator de ameaça do Cactus utilizava servidores de comando e controle geralmente associados ao Black Basta.
O ransomware Cactus surgiu no início de 2023 e desde então tem visado uma gama de organizações usando táticas similares às do Black Basta.
Relatórios anteriores sobre o Cactus também mostraram links entre as duas gangues de ransomware, com o Cactus utilizando um script PowerShell chamado TotalExec que era frequentemente visto em ataques de ransomware do Black Basta.
Além disso, a gangue de ransomware Black Basta adotou uma rotina de criptografia que inicialmente era única aos ataques de ransomware do Cactus, fortalecendo ainda mais os laços entre ambos os grupos.
O uso compartilhado de táticas, BackConnect e outras similaridades operacionais levantam questões sobre se o ransomware Cactus é um rebranding do Black Basta ou simplesmente uma sobreposição entre membros.
No entanto, o Black Basta vem desaparecendo lentamente desde dezembro de 2024, com seu site de vazamentos offline na maior parte de 2025.
Acredita-se que muitos dos membros do Black Basta já haviam começado a migrar para outras gangues de ransomware, como o Cactus, sendo o recente vazamento de dados o golpe final.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...