blank

blank

Principais Conclusões

  • Uma pesquisa conjunta da Elliptic e Corvus Insurance identificou pelo menos US$ 107 milhões em pagamentos de resgate em Bitcoin ao grupo de ransomware Black Basta desde o início de 2022.
  • Black Basta infectou mais de 329 vítimas, incluindo Capita, ABB e Dish Network.
  • A análise das transações blockchain mostra uma ligação clara entre o Black Basta e o Grupo Conti – uma gangue russa de ransomware que encerrou as operações em 2022, na época em que o Black Basta surgiu.
  • Grande parte dos pagamentos de resgate lavados podem ser atribuídos à Garantex, a bolsa de criptografia russa sancionada.

blank

Black Basta é um ransomware ligado à Rússia que surgiu no início de 2022. Foi usado para atacar mais de 329 organizações em todo o mundo e cresceu até se tornar a quarta estirpe de ransomware mais ativa em número de vítimas em 2022-2023. O grupo emprega táticas de dupla extorsão, nas quais extorquim a vítima, ameaçando publicar dados roubados, a menos que a vítima pague um resgate.

Os pesquisadores sugeriram que o Black Basta pode ser uma ramificação do Grupo Conti, uma das gangues de ransomware mais prolíficas dos últimos anos. Vazamentos de bate-papos online de Conti sugeriram suas ligações com o governo russo e seu apoio à invasão da Ucrânia, antes de o grupo ser dissolvido em maio de 2022.

blank
Blackbasta_23_Graph-01_V3

Vítimas de Black Basta, por setor e país. (Dados do site de vazamento Black Basta)

A Black Basta tem como alvo empresas numa ampla variedade de setores, incluindo construção (10% das vítimas), escritórios de advocacia (4%) e imobiliário (3%). Na verdade, a vitimologia do Black Basta assemelha-se muito à do grupo de ransomware Conti, com um apetite sobreposto por muitas das mesmas indústrias.

Black Basta concentrou-se principalmente em organizações sediadas nos EUA, representando 61,9% de todas as vítimas, seguida pela Alemanha com 15,8%.

Vítimas de destaque incluem a Capita, um terceirizador de tecnologia com bilhões de dólares em contratos com o governo do Reino Unido, e a empresa de automação industrial ABB, que tem receitas de mais de US$ 29 bilhões. Nenhuma das empresas revelou publicamente se pagou resgate .

Identificando pagamentos de resgate de Black Basta

Apesar da transparência das blockchains, pode ser um desafio identificar pagamentos de resgate feitos em criptomoeda. Primeiro, os grupos de ransomware raramente usam uma única carteira para receber pagamentos, e as vítimas raramente compartilham detalhes da carteira para a qual pagaram os resgates. Isso pode dificultar o rastreamento da atividade de um grupo de ransomware em grande escala. Em segundo lugar, estes grupos também empregam técnicas complexas de branqueamento para encobrir os seus rastos de blockchain e ocultar a fonte ilícita dos seus lucros.

No entanto, nossa análise de transações verificadas de criptomoeda Black Basta usando nossa ferramenta de investigação de criptografia – Elliptic Investigator – descobriu padrões únicos na atividade do grupo. Isso nos permitiu identificar um grande número de resgates de Bitcoin pagos ao grupo, com grande confiança.

A nossa análise sugere que Black Basta recebeu pelo menos 107 milhões de dólares em pagamentos de resgate desde o início de 2022, a mais de 90 vítimas. O maior pagamento de resgate recebido foi de US$ 9 milhões, e pelo menos 18 dos resgates ultrapassaram US$ 1 milhão. O pagamento médio do resgate foi de US$ 1,2 milhão.

Deve-se notar que estes números são um limite inferior – é provável que haja outros pagamentos de resgate feitos a Black Basta que a nossa análise ainda não identificou – particularmente relacionados com vítimas recentes. Devido à sobreposição entre os grupos, alguns destes pagamentos também podem estar relacionados com ataques de ransomware Conti.

blank

O número de ataques de Black Basta relatados e resgates pagos, por mês. O momento dos pagamentos do resgate correlaciona-se razoavelmente bem com o momento dos ataques, com picos de pagamentos após picos de ataques. A queda nos pagamentos no primeiro trimestre de 2023 corresponde a um período em que Black Basta teria suspendido as operações.

Com base no número de vítimas conhecidas listadas no site de vazamento de Black Basta até o terceiro trimestre de 2023, nossos dados indicam que pelo menos 35% das vítimas conhecidas de Black Basta pagaram resgate. Isso é consistente com relatos de que 41% de todas as vítimas de ransomware pagaram resgate em 2022.

blank

O número de ataques de Black Basta relatados e resgates pagos, por mês. O momento dos pagamentos do resgate correlaciona-se razoavelmente bem com o momento dos ataques, com picos de pagamentos após picos de ataques.

 

Descobrindo as ligações financeiras de Black Basta

O malware Qakbot – que infecta os computadores das vítimas por meio de ataques de phishing por e-mail – era comumente usado para implantar o ransomware Black Basta. Essa ligação entre os grupos também é visível no blockchain, com partes dos resgates de algumas vítimas enviadas para carteiras Qakbot.

Estas transações indicam que aproximadamente 10% do valor do resgate foi encaminhado para Qakbot, nos casos em que este esteve envolvido no fornecimento de acesso à vítima. O Qakbot foi interrompido em agosto de 2023 por uma operação multinacional de aplicação da lei – talvez explicando uma redução acentuada nos ataques de Black Basta no segundo semestre de 2023.

A operadora Black Basta parece receber em média 14% dos pagamentos de resgate. Esta é uma divisão típica observada em operações de ransomware como serviço.

Nossa análise das transações criptográficas de Black Basta também fornece novas evidências de suas ligações com o Grupo Conti. Em particular, rastreamos Bitcoin no valor de vários milhões de dólares, desde carteiras vinculadas ao Conti até aquelas associadas à operadora Black Basta. Isto fortalece ainda mais a teoria de que Black Basta é uma ramificação ou uma nova marca de Conti.

blank

Uma captura de tela do Elliptic Investigator mostrando links transacionais entre Conti, Qakbot e Black Basta. 

O Elliptic Investigator também fornece informações sobre como os pagamentos de resgate estão sendo lavados, com milhões de dólares provenientes dos rendimentos do grupo sendo enviados para a Garantex, uma bolsa russa de criptomoedas. A Garantex foi sancionada pelo governo dos EUA em abril de 2022 por seu papel na lavagem de rendimentos de mercados darknet e gangues de ransomware como a Conti.

Aproveitando insights sobre a atividade criptográfica de Black Basta

Esta pesquisa fornece informações importantes sobre a infraestrutura de carteiras de criptomoedas empregada por uma das gangues de ransomware mais prolíficas do mundo. Essas informações podem ser usadas de duas maneiras principais:

  1. As exchanges de criptomoedas podem usar ferramentas de triagem de transações, como o Elliptic Navigator, para identificar quaisquer depósitos de clientes provenientes de carteiras Black Basta. Ao fazê-lo, podem ajudar a impedir a lavagem dos pagamentos do resgate, bem como fornecer informações oportunas às autoridades.
  2. As agências de aplicação da lei podem “seguir o dinheiro” usando ferramentas forenses de blockchain, como o Elliptic Investigator, para ajudar em possíveis apreensões de ativos e na identificação dos responsáveis.

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor