# Black Basta > Tipo: **ransomware / RaaS** - [Malpedia](https://malpedia.caad.fkie.fraunhofer.de/details/win.black_basta) > [!info] Herdeiro do Conti - Dupla Extorsao em Larga Escala desde 2022 > O Black Basta surgiu em abril de 2022 poucas semanas após o encerramento do [[s0575-conti-ransomware|Conti]], com fortes indicios de que seus operadores sao ex-membros do ecossistema Conti. Usa criptografia hibrida ChaCha20 + RSA-4096 e dupla extorsao via site de vazamento "Basta News". Ate 2024, o grupo havia atacado mais de 500 organizacoes em 17 paises, com impacto estimado acima de USD 100 milhões em resgates. ## Visão Geral O [[blackbasta-ransomware|Black Basta]] e uma operação de Ransomware-as-a-Service (RaaS) que emergiu em abril de 2022 com um nivel tecnico e operacional imediatamente maduro - sinal de que seus operadores possuiam experiência previa substancial. A hipotese mais aceita pela comunidade de inteligência e que o Black Basta e uma evolução direta do [[s0575-conti-ransomware|Conti]], com os mesmos TTPs de acesso inicial via [[s0650-qakbot|QakBot]] e [[s0154-cobalt-strike|Cobalt Strike]] para movimento lateral. O modelo de dupla extorsao e central: alem de criptografar os dados da vitima, o Black Basta exfiltra dados sensiveis antes da criptografia e ameaça públicar no site "Basta News" caso o resgaté nao sejá pago. O grupo realiza selecao cuidadosa de alvos (big game hunting), focando em organizacoes com alta capacidade de pagamento - especialmente setores de saúde, industria e infraestrutura critica. Pesquisa da CISA e FBI (Advisory AA24-131A de maio de 2024) identificou o Black Basta como responsavel por mais de 500 ataques entre abril de 2022 e maio de 2024. Conexoes operacionais com o grupo [[g0046-fin7|FIN7]] foram estabelecidas pela Microsoft (rastreado como Storm-1811), com indicios de que FIN7 fornece acesso inicial via campanhas de vishing e engenharia social para os operadores do Black Basta. **Plataformas:** Windows, Linux (ESXi VMware) ## Como Funciona O Black Basta opera com uma cadeia de ataque bem definida baseada na experiência do ecossistema Conti: 1. **Acesso Inicial**: via [[s0650-qakbot|QakBot]] (até o desmonte em 2023), spearphishing com documentos maliciosos ([[t1566-001-spearphishing-attachment|T1566.001]]), ou vishing por telefone 2. **C2 e Reconhecimento**: deploy de [[s0154-cobalt-strike|Cobalt Strike]] beacons para reconhecimento extenso - Active Directory, servidores criticos, backups 3. **Movimento Lateral**: uso de PsExec, WMI e credenciais roubadas via LSASS dump ([[t1003-001-lsass-memory|T1003.001]]) 4. **Pre-criptografia**: exfiltração de dados sensiveis para infraestrutura controlada pelo atacante (dupla extorsao) 5. **Deploy do ransomware**: Black Basta implantado via GPO em toda a rede; criptografia ChaCha20 com chave assimetrica RSA-4096; extensao `.basta` adicionada 6. **ESXi**: variante Linux especializada para criptografar servidores VMware ESXi em massa ```mermaid graph TB A["Acesso Inicial<br/>QakBot / Vishing<br/>Spearphishing T1566.001"] --> B["Cobalt Strike<br/>Reconhecimento AD<br/>T1082 - System Info"] B --> C["Movimento Lateral<br/>PsExec / WMI<br/>Credenciais LSASS T1003.001"] C --> D["Exfiltração de Dados<br/>Dupla Extorsao<br/>Antes da criptografia"] D --> E["Deploy via GPO<br/>Black Basta em toda rede<br/>ChaCha20 + RSA-4096"] E --> F["Criptografia + Nota<br/>Extensao .basta<br/>Site Basta News"] E --> G["Variante ESXi Linux<br/>VMware hypervisors<br/>Criptografia em massa"] classDef initial fill:#e74c3c,color:#fff classDef recon fill:#e67e22,color:#fff classDef lateral fill:#8e44ad,color:#fff classDef exfil fill:#2980b9,color:#fff classDef deploy fill:#c0392b,color:#fff classDef impact fill:#2c3e50,color:#fff class A initial class B recon class C lateral class D exfil class E deploy class F,G impact ``` ## Timeline ```mermaid timeline title Black Basta - Historico Abr 2022 : Identificado pela primeira vez : Primeiros ataques - Alemanha e Reino Unido Mai 2022 : Associacao com ex-membros do Conti confirmada : Ataque Deutsche Windtechnik - turbinas eolicas Jun 2022 : ABB Group multinacional suica atacada Set 2023 : FIN7 ligado a operacoes do Black Basta Fev 2024 : Ascension Health - 140 hospitais EUA afetados Mai 2024 : CISA FBI Advisory AA24-131A - 500+ vitimas Fev 2025 : Vazamento de chats internos Telegram - infraestrutura exposta ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spearphishing com documentos maliciosos | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para deploy de payloads | | Persistence | [[t1055-process-injection\|T1055]] | Injecao em processos legitimos | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desabilitacao de EDR/AV antes da criptografia | | Credential Access | [[t1003-001-lsass-memory\|T1003.001]] | Dump de LSASS para credenciais | | Discovery | [[t1082-system-information-discovery\|T1082]] | Reconhecimento do ambiente AD | | Lateral Movement | [[t1570-lateral-tool-transfer\|T1570]] | PsExec e WMI para propagação | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | ChaCha20 + RSA-4096 | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Remoção de shadow copies e backups | | Impact | [[t1489-service-stop\|T1489]] | Parada de servicos criticos pre-criptografia | ## Relevância LATAM/Brasil O Black Basta e ativo no Brasil e na América Latina, com ataques documentados contra organizacoes do setor de saúde e industria. O modelo de RaaS permite que afiliados locais operem a infraestrutura do grupo contra alvos regionais. Em 2023, o grupo atacou ao menos duas organizacoes brasileiras de grande porte nos setores de manufatura e servicos financeiros. A relevância e alta: o vazamento de chats do Black Basta em fevereiro de 2025 revelou detalhes operacionais que podem ser usados para atribuicao e defesa. Setores criticos brasileiros - especialmente [[healthcare|saúde]], [[financial|financeiro]] e manufatura - devem monitorar IoCs do grupo ativamente. **Setores historicamente impactados:** [[healthcare|saúde]] - [[financial|financeiro]] - manufatura - [[critical-infrastructure|infraestrutura critica]] ## Detecção - Monitorar execução de comandos `vssadmin delete shadows` e `bcdedit /set recoveryenabled no` - Alertar para dumps de LSASS via ferramentas como ProcDump ou acesso direto ao processo - Detectar QakBot: criação de processos filhos suspeitos por documentos Office - Monitorar GPO pushes suspeitos para execução em massa de binarios - YARA para strings caracteristicas do Black Basta (referência a "Basta News", extensao `.basta`) ```sigma title: Black Basta Shadow Copy Deletion status: stable logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - 'vssadmin delete shadows' - 'bcdedit /set recoveryenabled no' - 'wbadmin delete catalog' condition: selection level: critical tags: - attack.impact - attack.t1490 ``` ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a) CISA/FBI - AA24-131A Black Basta Ransomware Advisory (2024) - [2](https://www.microsoft.com/en-us/security/blog/2024/05/15/threat-actors-misusing-quick-assist-in-social-engineering-attacks-leading-to-ransomware/) Microsoft Security Blog - Storm-1811 Black Basta via Quick Assist (2024) - [3](https://thedfirreport.com/2022/09/12/from-qakbot-with-love/) DFIR Report - QakBot to Black Basta (2022) - [4](https://malpedia.caad.fkie.fraunhofer.de/details/win.black_basta) Malpedia - Black Basta Family Details (2025) - [5](https://unit42.paloaltonetworks.com/threat-assessment-black-basta-ransomware/) Unit 42 - Black Basta Threat Assessment (2023)