blackbasta - RunkIntel

# Black Basta > [!warning] **Black Basta** é um grupo de ameaça atribuído a **Russia** ativo desde **2022**. ## Visão Geral **Black Basta** e um grupo de ransomware-as-a-service (RaaS) de origem russa ativo desde abril de 2022, amplamente considerado um rebrand direto do **Conti** após sua dissolução em junho de 2022. O grupo tem conexoes documentadas com o **FIN7 (Carbanak)** por meio de ferramentas compartilhadas. Em menos de 2 anos, o Black Basta comprometeu mais de **500 organizacoes** em 12 dos 16 setores de infraestrutura critica dos EUA, acumulando mais de **US$107 milhões em extorsao** so em 2023, de acordo com análise de pagamentos em criptomoeda. O grupo opera com modelo semi-fechado, sem recrutamento público de afiliados em forums da dark web. A arquitetura de criptografia usa **ChaCha20 para arquivos + RSA-4096 para proteger as chaves**. Arquivos sao renomeados com extensao `.basta` e a nota de resgaté nao inclui valor inicial - instrui a vitima a usar um código único para contato via portal `.onion` ("Basta News"). ## Timeline - Ascensao e Disrupturas ```mermaid timeline title Black Basta - Cronologia Operacional Abr 2022 : Emergencia - 90 orgs em 5 meses : Primeiro spike de atividade global 2022 : Uso inicial de QakBot como dropper : FIN7 conexão identificada pelo SentinelOne Mai 2023 : Rheinmetall e ABB comprometidas : Expansao para infraestrutura critica Mai 2024 : FBI/CISA/HHS advisory AA24-131A : 500+ organizacoes comprometidas Mai 2024 : Email bombing + Teams social engineering : Novo vetor de acesso mascarado como TI Nov 2024 : Teams incorporado ao vetor de engenharia : BackConnect malware adicionado ao arsenal Fev 2025 : 200.000 mensagens de chat vazadas : ExploitWhispers publica logs internos 2025 : Atividade drasticamente reduzida : Possível dissolução após vazamento ``` > [!danger] Chat Logs Vazados - Golpe Fatal nas Operacoes > Em fevereiro de 2025, um usuario Telegram denominado **ExploitWhispers** vazou aproximadamente **200.000 mensagens de chat internas** do Black Basta, cobrindo setembro de 2023 a junho de 2024. O vazamento expoe nomes de alvos, CVEs explorados, ferramentas internas, conflitos interpessoais e estrategias de extorsao. Pesquisadores desenvolveram até o **BlackBastaGPT** para minerar a inteligência dos logs. O impacto operacional foi severo - rivalizando com os leaks do Conti em 2022. > [!info] Conexão Conti - FIN7 - Black Basta > O Black Basta emergiu em abril de 2022, semanas após a dissolução do **Conti** (vazamento de fevereiro de 2022 + suporte a invasao da Russia). Operadores e TTPs mostram clara heranca Conti. O **SentinelOne** identificou sobreposicao com **FIN7 (Carbanak)**: a ferramenta customizada de impairment de defesas usada exclusivamente pelo Black Basta foi desenvolvida pelo mesmo desenvolvedor responsavel por ferramentas FIN7 anteriores. Isso cria um nexo incomum entre crime financeiro (FIN7) e ransomware (Black Basta). > [!warning] Email Bombing + Teams - Engenharia Social Sofisticada > A partir de maio de 2024, o Black Basta inovou no vetor de acesso: **bombardeio massivo de emails de spam** (subscrições legitimas, alertas) para a vitima, seguido de **ligacao telefonica** ou **mensagem no Microsoft Teams** fingindo ser suporte de TI da propria empresa. O operador pede que o usuario instale **AnyDesk ou Quick Assist** para "resolver o problema de spam". Uma vez com acesso remoto, executa scripts mascarados como atualizacoes de software. ## Attack Flow - Dupla Extorsao com Engenharia Social Avancada ```mermaid graph TB A["🎣 Acesso Inicial Email bombing + Teams Voz/IT support falso"] --> B["🔧 Dropper e C2 QakBot → Cobalt Strike AnyDesk / Quick Assist"] B --> C["🔍 Reconhecimento SoftPerfect netscan.exe Mimikatz + credenciais"] C --> D["↔️ Movimento Lateral BITSAdmin + PsExec + RDP ScreenConnect / Splashtop"] D --> E["📤 Exfiltração Rclone / WinSCP Para cloud storage"] E --> F["🔐 Criptografia ChaCha20 + RSA-4096 Extensao .basta - nota TOR"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef dropper fill:#1a5276,color:#fff,stroke:#154360 classDef recon fill:#e67e22,color:#fff,stroke:#d35400 classDef lateral fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 classDef ransom fill:#2c3e50,color:#fff,stroke:#1a252f class A access class B dropper class C recon class D lateral class E exfil class F ransom ``` ## Campanhas e Vitimas de Destaque ### Ascension Healthcare (Maio 2024) O Black Basta comprometeu o **Ascension Health**, um dos maiores sistemas hospitalares dos EUA (140 hospitais em 19 estados). O ataque causou disrupcoes criticas no aténdimento ao paciente, com profissionais tendo que reverter a processos em papel. Dados de pacientes foram exfiltrados antes da criptografia. ### ABB e Rheinmetall (Maio 2023) Dois ataques de alto perfil em sequencia: **ABB** (empresa suica de automacao industrial - 100.000+ funcionarios) e **Rheinmetall** (fabricante alemao de armamentos). Ambos os ataques causaram disrupcoes operacionais significativas e confirmaram a capacidade do grupo de atacar manufatura industrial de grande porte. ### Engenharia Social via Microsoft Teams (Out/Nov 2024) Campanha documentada pelo FBI/CISA em advisory atualizado de novembro de 2024: afiliados enviavam mensagens de **contas legitimas de Microsoft Teams de organizacoes externas**, posando como suporte tecnico. A técnica explora o trust por defecto que usuarios depositam em contas Teams verificadas. ## Arsenal e Ferramentas - **QakBot** - Dropper inicial historico (até disrupcao do QakBot em 2023) - **Cobalt Strike** - Framework de C2 principal - **Backstab** - Ferramenta customizada de impairment de EDR (conexão FIN7) - **BackConnect** - Malware de proxy reverso adicionado em 2024 - **BITSAdmin** - Movimento lateral e persistência - **PsExec** - Execução remota - **SoftPerfect Network Scanner** - Reconhecimento de rede - **Mimikatz** - Coleta de credenciais - **Rclone / WinSCP** - Exfiltração de dados - **AnyDesk / Quick Assist / ScreenConnect** - Acesso remoto pos-engenharia social **Criptografia:** - **ChaCha20** para criptografia de arquivos - **RSA-4096** para proteção das chaves ChaCha20 ## Técnicas (TTPs) - **T1566** - Phishing como vetor inicial primario - **T1566.004** - Spearphishing por voz (ligacoes telefonicas e Teams) - **T1190** - Exploração de CVE-2024-1709 (ConnectWise ScreenConnect) - **T1078** - Uso de credenciais válidas compradas ou extraidas - **T1059.001** - PowerShell para desabilitacao de AV e execução - **T1036** - Mascaramento de ferramentas com nomes legitimos (Intel, Dell) - **T1562.001** - Backstab desabilita soluções EDR - **T1003** - Mimikatz para dumping de credenciais LSASS - **T1068** - Escalacao via ZeroLogon (CVE-2020-1472), PrintNightmare (CVE-2021-34527) - **T1486** - Criptografia ChaCha20 com extensao .basta **Técnicas MITRE referênciadas:** [[t1566-phishing|T1566]] · [[t1078-valid-accounts|T1078]] · [[t1562-001-disable-or-modify-tools|T1562.001]] · [[t1486-data-encrypted-for-impact|T1486]] ## Relevância LATAM Embora o Black Basta tenha foco primario em EUA e Europa, o Brasil aparece nos registros de vitimas. O modelo operacional do grupo e altamente relevante para organizacoes brasileiras: 1. **Saúde** - O grupo tem historico de atacar sistemas hospitalares - setor de saúde brasileiro e altamente vulnerável ao mesmo perfil 2. **Industria e manufatura** - ABB e Rheinmetall mostram capacidade de atacar fabricantes industriais com plantas no Brasil 3. **Engenharia social via Teams** - Empresas brasileiras com forca de trabalho remota sao alvos naturais da tática de Teams + email bombing 4. **LGPD** - A exfiltração de dados de pacientes, clientes financeiros e dados industriais tem implicacoes diretas sob a LGPD Os logs vazados de fevereiro de 2025 revelaram que o grupo considera **ambientes regulatorios** no processo de selecao de alvos - empresas em jurisdicoes com LGPD ativa podem ter maior probabilidade de pagar para evitar multas regulatorias alem dos danos reputacionais. ## Detecção e Defesa - Monitorar email bombing incomum seguido de contato via Teams de organizacoes externas - Alertar para instalacao de AnyDesk/Quick Assist fora de processos aprovados de TI - Detectar execução de Backstab (termina processos de EDR em massa) - Monitorar SoftPerfect netscan.exe em redes corporativas - Bloquear Rclone e WinSCP nao autorizados - Implementar MFA em todos os acessos remotos (RDP, VPN, Teams) - Aplicar patches em ConnectWise (CVE-2024-1709), Exchange e Fortinet **Mitigação referênciada:** [[m1032-multi-factor-authentication|M1032]] · [[m1031-network-intrusion-prevention|M1031]] · [[m1049-antivirus-antimalware|M1049]] ## Referências - [FBI/CISA/HHS Advisory AA24-131A - Black Basta (Mai 2024)](https://www.ic3.gov/CSA/2024/240511.pdf) - [FBI/CISA Advisory Atualizado - Nov 2024](https://www.ic3.gov/Media/News/2024/240511.pdf) - [SentinelOne - Black Basta + FIN7 Custom EDR Evasion Tools](https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/) - [Intel 471 - Emerging Threat Black Basta March 2025](https://go.intel471.com/hubfs/Emerging%20Threats/Emerging%20Threat%20-%20Black%20Basta%20-%20March%202025.pdf) - [Health-ISAC - Inside Black Basta Chat Logs (Fev 2025)](https://www.aha.org/system/files/media/file/2025/02/h-isac-tlp-white-threat-bulletin-inside-black-basta-chat-logs-expose-ransomware-operations-2-26-2025.pdf) **Atores relacionados:** [[conti|Conti]] · [[g0046-fin7|FIN7]] **Setores alvejados:** [[healthcare|Saúde]] · [[financial|Financeiro]] · [[manufacturing|Manufatura]] **CVEs explorados:** [[cve-2024-1709|CVE-2024-1709]] · [[cve-2020-1472|CVE-2020-1472]] · [[cve-2021-34527|CVE-2021-34527]]