s1070-black-basta-ransomware

# Black Basta Ransomware > [!critical] Herdeiro do Conti - 500+ Vitimas em 2 Anos, USD 107M Extorquidos > **Black Basta** (MITRE S1070) e um ransomware RaaS escrito em C++ identificado em abril de 2022, amplamente avaliado como herdeiro direto do [[conti-ransomware-campaigns|Conti]] com possiveis conexoes ao [[g0046-fin7|FIN7]]. Em menos de dois anos de operação, o grupo comprometeu mais de 500 organizacoes globalmente em 12 dos 16 setores de infraestrutura critica americana, extorquindo mais de **USD 107 milhões** em pagamentos de resgate. A dupla extorcao e inovacoes como ataques via Microsoft Teams em 2024 marcam o grupo como uma das ameaças mais avancadas do ecossistema ransomware atual. ## Visão Geral [[s1070-black-basta-ransomware|Black Basta]] surgiu em abril de 2022, apenas semanas após a dissolução formal do [[conti-ransomware-campaigns|Conti]]. A rapidez com que o grupo estabeleceu operações - atingindo mais de 20 vitimas nas primeiras duas semanas - sugere fortemente que operadores experientes do Conti migraram diretamente para o novo grupo. O ransomware e desenvolvido em **C++** e criptografa arquivos usando **ChaCha20** com chave protegida por **RSA-4096** - uma escolha mais robusta criptograficamente que muitos ransomwares predecessores. O Black Basta suporta tanto sistemas **Windows** quanto **VMware ESXi** (Linux), ampliando consideravelmente sua superficie de ataque em ambientes corporativos. Em fevereiro de 2025, um vazamento de aproximadamente **200.000 mensagens internas** do Black Basta (públicado no Telegram pelo usuario "ExploitWhispers") revelou detalhes operacionais do grupo - um evento comparavel ao vazamento do Conti em 2022 e que confirmou varias TTPs antes documentadas externamente. A afiliacao do grupo com o [[g0046-fin7|FIN7]] foi identificada por pesquisadores da SentinelOne através de módulos customizados de evasão de EDR compartilhados entre os dois grupos, bem como uso de enderecos IP de C2 comuns. **Plataformas:** Windows, VMware ESXi (Linux) ## Como Funciona 1. **Acesso Inicial:** Spear-phishing ([[t1566-spearphishing|T1566]]), exploração de ConnectWise CVE-2024-1709 ([[t1190-exploit-public-facing-application|T1190]]), ou credenciais válidas via QakBot ([[t1078-valid-accounts|T1078]]). 2. **Engenharia Social Avancada (2024):** Email bombing para sobrecarregar inbox da vitima, seguido de chamada via Microsoft Teams ou telefone (vishing) se passando por suporte de TI para obter acesso via Quick Assist. 3. **Escalada de Privilegios:** [[mimikatz|Mimikatz]] para dump de credenciais ([[t1003-os-credential-dumping|T1003]]). Exploração de ZeroLogon, NoPac e PrintNightmare para escalada no Active Directory. 4. **Recon de Rede:** `netscan.exe` (SoftPerfect) para mapeamento. Ferramentas com nomes inocuos ("Intel.exe", "Dell.exe") para evasão ([[t1036-masquerading|T1036]]). 5. **Desativacao de Defesas:** Ferramenta **Backstab** para desabilitar EDR ([[t1562-001-disable-or-modify-tools|T1562.001]]). PowerShell para desativar Windows Defender. 6. **Exfiltração:** Rclone para upload a contas controladas pelo ator ([[t1041-exfiltration-over-c2-channel|T1041]]). WinSCP via FTP. 7. **Deploy do Ransomware:** Criptografia ChaCha20 + RSA-4096, exclusao de VSS, reinicio em Safe Mode para evitar protecoes de AV ([[t1486-data-encrypted-for-impact|T1486]]). ```mermaid graph TB A["Acesso Inicial QakBot / Phishing / CVE-2024-1709 T1566 + T1190 + T1078"] --> B["Teams/Vishing 2024 Email bombing + falso suporte TI Quick Assist acesso remoto"] B --> C["Escalada Privilegios Mimikatz + ZeroLogon T1003 + T1068 domain admin"] C --> D["Recon + EDR Kill netscan.exe + Backstab T1036 + T1562.001"] D --> E["Exfiltração Rclone para cloud storage T1041 double extortion"] E --> F["Deploy Ransomware ChaCha20 + RSA-4096 T1486 + Safe Mode boot"] classDef access fill:#c0392b,color:#fff classDef social fill:#e67e22,color:#fff classDef cred fill:#8e44ad,color:#fff classDef evasion fill:#2c3e50,color:#fff classDef exfil fill:#16a085,color:#fff classDef impact fill:#922b21,color:#fff class A access class B social class C cred class D evasion class E exfil class F impact ``` ## Timeline ```mermaid timeline title Black Basta - Evolução Abr 2022 : Black Basta identificado : 20+ vitimas nas primeiras 2 semanas : Avaliado como herdeiro do Conti 2022-2023 : +500 vitimas globalmente : Link com FIN7 identificado : VMware ESXi variant lancado Fev 2024 : Exploração CVE-2024-1709 ConnectWise : CISA/FBI/HHS Advisory AA24-131A Mai 2024 : Campanha Teams vishing : Ataque ao setor saude intensifica Out 2024 : Teams social engineering escala : Storm-1811 formalmente associado Fev 2025 : Vazamento 200k mensagens internas : ExploitWhispers no Telegram ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-spearphishing\|T1566]] | Spear-phishing + vishing Teams | | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2024-1709 ConnectWise | | Initial Access | [[t1078-valid-accounts\|T1078]] | QakBot + credenciais compradas | | Privilege Escalation | [[t1068-exploitation-for-privilege-escalation\|T1068]] | ZeroLogon + PrintNightmare + NoPac | | Credential Access | [[t1003-os-credential-dumping\|T1003]] | Mimikatz para domain admin | | Defense Evasion | [[t1036-masquerading\|T1036]] | Nomes inocuos Intel.exe/Dell.exe | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Backstab para kill EDR | | Lateral Movement | [[t1021-remote-services\|T1021]] | RDP + SMB + PsExec | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Rclone + WinSCP FTP | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | ChaCha20 + RSA-4096 | | Impact | [[t1490-inhibit-system-recovery\|T1490]] | Exclusao Shadow Copies | ## Relevância LATAM/Brasil O Black Basta e uma ameaça relevante para o Brasil por tres razoes principais. Primeiro, a associacao com o [[g0046-fin7|FIN7]] cujas operações já chegaram ao setor de hospitalidade e varejo brasileiro. Segundo, o setor de [[healthcare|saúde]] - alvo prioritario do grupo - possui infraestrutura critica e muitas vezes segurança limitada no Brasil. Terceiro, o [[water-curupira|Water Curupira]], um grupo rastreado pela Trend Micro que fez campanha distribuidora do QakBot (vetor de acesso do Black Basta), teve atividade documentada na América Latina. O vetor de vishing via Microsoft Teams em 2024 e particularmente preocupante para empresas brasileiras que adotaram o Teams intensamente pos-pandemia, onde funcionarios tem menor treinamento para identificar chamadas de falso suporte de TI. **Setores impactados:** [[healthcare|saúde]] - [[financial|financeiro]] - [[critical-infrastructure|infraestrutura critica]] - [[manufacturing|manufatura]] - [[technology|tecnologia]] ## Detecção e Defesa - **Restringir Quick Assist:** Considerar bloqueio do Quick Assist (app Windows nativo) se nao necessário operacionalmente - **Monitorar Teams externo:** Alertar para mensagens de contas Teams de organizacoes externas se passando por suporte TI - **Detectar Backstab:** Monitorar a ferramenta Backstab conhecida por desabilitar processos de EDR - **Bloquear email bombing:** Implementar rate limiting e filtros para volumes anomalos de email de inscricoes - **Patch aggressivo:** ConnectWise CVE-2024-1709, ZeroLogon, PrintNightmare sao exploits conhecidos e patchados - **Monitorar Rclone:** Qualquer uso de Rclone para MEGA/Dropbox/Box deve ser investigado como possível exfiltração - **Safe Mode protection:** Configurar Windows para exigir autenticação ao reiniciar em Safe Mode ## Referências - [1](https://attack.mitre.org/software/S1070/) MITRE ATT&CK - S1070 Black Basta (2025) - [2](https://www.ic3.gov/CSA/2024/240511.pdf) CISA/FBI/HHS - Advisory AA24-131A Black Basta (2024) - [3](https://www.sentinelone.com/labs/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor/) SentinelOne - Black Basta Custom EDR Tools Tied to FIN7 (2022) - [4](https://go.intel471.com/hubfs/Emerging%20Threats/Emerging%20Threat%20-%20Black%20Basta%20-%20March%202025.pdf) Intel 471 - Black Basta Emerging Threat March 2025 (2025) - [5](https://www.hhs.gov/sites/default/files/black-basta-threat-profile.pdf) HHS - Black Basta Threat Profile (2022)