black-basta - RunkIntel

# Black Basta > [!high] RaaS com DNA do Conti - Dupla Extorsão Windows e ESXi > Black Basta é um ransomware-as-a-service (RaaS) ativo desde abril de 2022, amplamente atribuído a dissidentes do grupo **Conti** após seu colapso em maio de 2022. Em menos de dois anos comprometeu mais de 500 organizações globais, incluindo infraestrutura crítica, saúde e manufatura. Técnica distintiva: reinicia Windows em **modo de segurança** para contornar EDRs antes de criptografar, garantindo máximo impacto mesmo em ambientes com defesas avançadas. ## Visão Geral Black Basta (MITRE S1070) é um ransomware escrito em C++ que opera no modelo RaaS desde pelo menos abril de 2022, com variantes para Windows e servidores VMware ESXi. O grupo emergiu de forma explosiva em abril de 2022 - apenas duas semanas após o colapso do [[conti|Conti]] - e acumulou mais de 50 vítimas nos primeiros dois meses de operação, uma velocidade de escala que apenas grupos com infraestrutura, relacionamentos e experiência prévia conseguem atingir. Pesquisadores da NCC Group, Mandiant e Elliptic identificaram sobreposições significativas em TTPs, sites de vazamento e linguagem de negociação entre Black Basta e o [[conti|Conti]], sustentando a teoria de sucessão. O diferencial técnico do Black Basta está em duas inovações táticas: primeiro, a reinicialização do Windows em modo de segurança antes da criptografia (T1562.009) - em modo de segurança, a maioria dos agentes EDR, AV e de segurança endpoint não carrega, permitindo que o ransomware opere sem interferência. Segundo, o suporte nativo a VMware ESXi com variante Linux escrita específicamente para criptografar máquinas virtuais em hypervisors corporativos - estratégia que maximiza impacto operacional ao atingir simultaneamente centenas de VMs com um único processo. As operações do Black Basta utilizam o modelo de dupla extorsão: além de exigir resgate pela descriptografia, ameaçam públicar dados sensíveis exfiltrados no site de vazamentos `Basta News` caso o pagamento não seja feito. A CISA e o FBI públicaram o aviso AA24-131A em maio de 2024 documentando mais de 500 organizações comprometidas em 16 meses, com resgate médio de US$ 1,2 milhão. O grupo tem preferência por explorar vulnerabilidades em ConnectWise ScreenConnect e vulnerabilidades de escalação de privilégio do Windows para movimento lateral pós-comprometimento. Em fevereiro de 2024, vazamento de chat interno do grupo Black Basta expôs estrutura organizacional, negociações com vítimas e métodos de lavagem de criptomoedas - evento similar ao que derrubou o [[conti|Conti]] em 2022 e sugerindo instabilidade interna crescente. | Campo | Detalhe | |-------|---------| | **Tipo** | Ransomware-as-a-Service (RaaS) | | **Linguagem** | C++ (Windows e Linux/ESXi) | | **Primeira versão** | Abril de 2022 | | **Status** | Ativo - embora com vazamento interno em fev/2024 | | **MITRE ID** | S1070 | | **Plataformas** | Windows, VMware ESXi (Linux) | | **Alvo principal** | Manufatura, saúde, infraestrutura crítica, serviços financeiros | ## Como Funciona **Acesso inicial via QakBot, PikaBot ou engenharia social Teams:** O Black Basta historicamente dependeu de afiliados usando [[s0650-qakbot|QakBot]] como loader primário. Após a derrubada do QakBot em 2023 (Operação Duck Hunt), migraram para [[pikabot|PikaBot]] e para campanhas de engenharia social via Microsoft Teams, onde se passam por suporte de TI para instalar ferramentas de acesso remoto legítimas (AnyDesk, Quick Assist). **Reconhecimento e movimento lateral:** Após comprometimento inicial, os operadores usam [[s0154-cobalt-strike|Cobalt Strike]] ou Brute Ratel C4 para reconhecimento. O uso de ferramentas como ADFind, SharpHound, BloodHound identifica caminhos de movimento lateral. Exploração de vulnerabilidades do Windows (PrintNightmare, ZeroLogon, CVE-2024-1709) para escalação de privilégios. **Exfiltração de dados antes da criptografia:** Dados sensíveis são exfiltrados para infraestrutura de staging antes da execução do ransomware - garantindo o ativo de dupla extorsão. Ferramentas como Rclone ou MEGAsync são frequentemente usadas para transferência em volume. **Reinicialização em modo de segurança:** O payload principal modifica o registro do Windows (T1112) para registrar si mesmo como serviço que inicia em modo de segurança, depois força a reinicialização. Em modo de segurança, apenas drivers básicos carregam - a maioria dos EDRs e soluções AV não inicia. **Criptografia com ChaCha20 + RSA-4096:** O Black Basta usa criptografia híbrida: ChaCha20 para criptografar arquivos (rápido) com chave protegida por RSA-4096 da chave pública do operador. Arquivos recebem extensão `.basta`. O wallpaper é substituído por nota de resgate (T1491.001). **Variante ESXi:** A versão Linux usa OpenSSL com chave RSA embarcada para criptografar VMs no formato VMDK. Os processos das VMs são encerrados via ESXCLI antes da criptografia para maximizar o alcance. ## Attack Flow ```mermaid graph TB A["Acesso inicial QakBot PikaBot Teams social eng T1204.002 Malicious File"] --> B["Reconhecimento e lateral Cobalt Strike BloodHound T1018 T1083 T1082"] B --> C["Exfiltração de dados Rclone MEGAsync Dados para dupla extorsao"] C --> D["Evasão de EDR Reinicia em Safe Mode T1562.009 T1112 Registry"] D --> E["Criptografia ChaCha20 Extensao .basta RSA-4096 T1486 Data Encrypted"] E --> F["Dupla extorsao Site Basta News Resgate medio USD 1.2M"] classDef initial fill:#e74c3c,color:#fff classDef recon fill:#e67e22,color:#fff classDef exfil fill:#8e44ad,color:#fff classDef evade fill:#3498db,color:#fff classDef encrypt fill:#2c3e50,color:#fff classDef impact fill:#c0392b,color:#fff class A initial class B recon class C exfil class D evade class E encrypt class F impact ``` ## Timeline ```mermaid timeline title Black Basta - Ascensao Rapida 2022-04 : Primeiros ataques documentados : Conti colapsa em maio/2022 2022-06 : 50+ vitimas em apenas 2 meses : Velocidade recorde de escala RaaS 2022-09 : CISA e FBI emitem alertas : Setor de saude e infraestrutura 2023 : Migracao de QakBot para PikaBot : Operação Duck Hunt derruba QakBot 2023-09 : Ataque ao Sandbox Banking Group : Africa do Sul - impacto LATAM adjacente 2024-02 : Vazamento interno de chats : Estrutura organizacional exposta 2024-05 : CISA AA24-131A publicado : 500+ vitimas 16 meses documentadas 2024 : Engenharia social via Teams : Suporte falso de TI como vetor ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|----------------| | Execução | [[t1204-002-malicious-file\|T1204.002]] | Execução de loader (QakBot, PikaBot) por usuário via spear-phishing | | Evasão | [[t1562-009-safe-mode-boot\|T1562.009]] | Reinicia Windows em modo seguro para desativar EDR antes da criptografia | | Evasão | [[t1497-virtualizationsandbox-evasion\|T1497]] | Verificação de ambiente virtualizado e sandbox antes de executar | | Evasão | [[t1553-002-code-signing\|T1553.002]] | Uso de certificados assinados para parecer software legítimo | | Evasão | [[t1622-debugger-evasion\|T1622]] | Anti-debug para dificultar análise de segurança | | Persistência | [[t1112-modify-registry\|T1112]] | Modifica registro para registrar serviço que inicia em modo seguro | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Reconhecimento do sistema comprometido e número de drives | | Descoberta | [[t1018-remote-system-discovery\|T1018]] | Enumeração de sistemas remotos para propagação em rede | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Varredura de arquivos para priorizar criptografia | | Descoberta | [[t1007-system-service-discovery\|T1007]] | Descoberta de serviços para encerrar soluções de backup | | Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia ChaCha20 de arquivos com extensão `.basta` | | Impacto | [[t1490-inhibit-system-recovery\|T1490]] | Deleção de shadow copies e desativação de backups automáticos | | Impacto | [[t1491-001-internal-defacement\|T1491.001]] | Substituição de wallpaper por nota de resgate | | Impacto | [[t1222-002-linux-and-mac-file-and-directory-permissions-modification\|T1222.002]] | Modificação de permissões em VMDKs antes da criptografia ESXi | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Comandos via cmd.exe para reconhecimento e operações pré-criptografia | ## Grupos que Usam - [[g1046-storm-1811|Storm-1811]] (Microsoft) - grupo principal de operações Black Basta, com uso de engenharia social via Teams - [[g0046-fin7|FIN7]] - parceria documentada: FIN7 fornecia acesso inicial via ferramenta AVNeutralizer para desativar antivírus antes da implantação do Black Basta - [[water-curupira|Water Curupira]] - afiliado documentado pela Trend Micro usando QakBot como loader para Black Basta ## Relevância LATAM/Brasil O Black Basta representa uma das ameaças de ransomware mais ativas para organizações brasileiras e latino-americanas. A dependência histórica em [[s0650-qakbot|QakBot]] - amplamente distribuído em campanhas de phishing com iscas em português no Brasil - e a migração subsequente para [[pikabot|PikaBot]] mantém o vetor de infecção relevante para alvos brasileiros. Ataques documentados do grupo incluem organizações no setor de manufatura, saúde e serviços financeiros - todos setores com grande presença no Brasil. A técnica de engenharia social via Microsoft Teams é particularmente preocupante no contexto corporativo brasileiro, onde o Teams é amplamente adotado pós-pandemia. Funcionários recebem mensagens de "suporte de TI" solicitando que instalem Quick Assist ou AnyDesk para resolver problemas técnicos - sequência que entrega acesso inicial ao afiliado Black Basta. O modelo de dupla extorsão com públicação de dados no `Basta News` representa risco regulatório direto para empresas brasileiras sujeitas à LGPD: um vazamento Black Basta pode resultar em notificações obrigatórias à ANPD e potenciais multas de até 2% do faturamento (limite de R$ 50 milhões por infração), além do dano reputacional. ## Detecção **Fontes de dados recomendadas:** - **EDR - modo de segurança:** Alertar para modificações em `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal` ou `Network` adicionando chaves de serviço - padrão clássico do Black Basta para persistência em safe mode (T1562.009) - **Process monitoring:** Monitorar execução de `bcdedit.exe /set safeboot` e `shutdown /r` em sequência - sequência característica de preparação para reinicialização em modo seguro - **File monitoring:** Alertar para criação de arquivos com extensão `.basta` em múltiplos diretórios simultaneamente - indicador de criptografia ativa em andamento - **Network:** Monitorar transferências de alto volume para IPs Rclone ou MEGAsync por processos não autorizados - exfiltração pré-criptografia **Regras de detecção:** - Sigma: `proc_creation_win_black_basta_safemode.yml` - sequência bcdedit + shutdown para reinicialização em modo seguro (SigmaHQ) - YARA: `BlackBasta.yar` - strings ChaCha20, estrutura de criptografia e padrões de extensão `.basta` (Mandiant e CISA IoC sets) - Suricata: monitorar exfiltração via Rclone com user-agents específicos e destinos MEGA.nz ## Referências - [1](https://attack.mitre.org/software/S1070/) MITRE ATT&CK - S1070 Black Basta - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a) CISA AA24-131A - Black Basta Ransomware Partners (2024) - [3](https://www.mandiant.com/resources/blog/unc4393-goes-gently-into-the-night) Mandiant - UNC4393 Black Basta Operations (2024) - [4](https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta) Trend Micro - Black Basta Ransomware Spotlight (2022) - [5](https://www.nccgroup.com/uk/research-blog/black-basta-ransomware-threat-analysis/) NCC Group - Black Basta Threat Analysis (2022) - [6](https://unit42.paloaltonetworks.com/threat-assessment-black-basta-ransomware/) Unit 42 - Black Basta Threat Assessment (2022)