No mundo da cibersegurança, por vezes são os próprios criminosos a revelar os seus segredos. Foi exatamente isso que aconteceu recentemente com o grupo de ransomware conhecido como Black Basta, considerado um dos mais ativos e perigosos do planeta. Uma fuga massiva de mensagens internas expôs o funcionamento interno desta organização criminosa, oferecendo ao mundo uma visão rara e perturbadora sobre como estes grupos operam nos bastidores.
O que é o ransomware e porque nos deve preocupar
Antes de mergulhar nos detalhes da fuga, é importante perceber o que está em causa. O ransomware é um tipo de software malicioso que funciona como um sequestrador digital. Quando infeta um computador ou uma rede, encripta todos os ficheiros, tornando os dados completamente inacessíveis. Depois disso, os criminosos exigem um resgate, normalmente pago em criptomoeda, para devolver o acesso. É como se alguém entrasse em casa, trocasse todas as fechaduras e depois exigisse dinheiro para entregar as novas chaves.
O grupo Black Basta surgiu em 2022 e, em apenas dois anos, acumulou centenas de vítimas em todo o mundo, incluindo hospitais, empresas de infraestruturas críticas e organismos governamentais. Os resgates exigidos chegaram a atingir dezenas de milhões de euros em alguns casos.
A fuga que expôs tudo
No início de 2025, um conjunto de ficheiros contendo mais de dois anos de conversas internas entre os membros do grupo foi tornado público. A fuga terá sido provocada por um dissidente interno, possivelmente alguém insatisfeito com a liderança da organização. Estes registos de conversas funcionam como um diário operacional do crime, revelando detalhes que normalmente nunca chegariam ao conhecimento público.
Os documentos expõem uma organização surpreendentemente estruturada. O Black Basta não é um grupo de adolescentes anónimos num quarto escuro. Funciona mais como uma empresa, com divisões de trabalho claras, hierarquias definidas e até preocupações com gestão de recursos humanos. Existe quem negoceie com as vítimas, quem desenvolva o software malicioso, quem explore as vulnerabilidades técnicas e quem trate das finanças em criptomoedas.
O que as conversas revelam sobre as táticas utilizadas
Um dos aspetos mais reveladores da fuga diz respeito às técnicas de engenharia social utilizadas. Os criminosos não se limitam a explorar falhas técnicas nos sistemas. Investem tempo considerável a estudar as vítimas, a criar pretextos convincentes e a manipular funcionários para obterem acesso inicial às redes corporativas. Em várias conversas é possível ver membros do grupo a discutir como se fazer passar por técnicos de suporte informático, a ligar diretamente para funcionários de empresas alvo e a convencê los a instalar software de acesso remoto.
Esta abordagem é conhecida como vishing, uma combinação de phishing com chamadas de voz. A lição aqui é clara: qualquer pessoa pode ser o ponto de entrada para um ataque. Não é necessário ser técnico ou ter acesso privilegiado. Basta receber uma chamada convincente no momento errado.
A estrutura de negócio por detrás do crime
As conversas revelam também algo que os investigadores suspeitavam mas raramente conseguiam provar com tanta clareza: estes grupos funcionam com modelos de negócio sofisticados. O Black Basta opera no modelo de Ransomware as a Service, ou seja, a infraestrutura criminosa é disponibilizada a terceiros, conhecidos como afiliados, que executam os ataques e partilham uma percentagem dos resgates com o grupo principal.
É como uma franchise do crime. O grupo central fornece as ferramentas, o suporte técnico e até formação operacional. Os afiliados tratam da execução no terreno. Esta estrutura torna a desmontagem destes grupos extremamente difícil para as autoridades, porque mesmo que o núcleo central seja identificado, os afiliados continuam a operar de forma relativamente independente.
O que isto significa para utilizadores e empresas em Portugal
Portugal não está imune a este tipo de ameaças. Nos últimos anos, várias organizações nacionais foram alvo de ataques de ransomware, incluindo entidades de saúde e serviços públicos. A fuga do Black Basta é relevante para todos nós porque desmistifica a ideia de que estes ataques são fenómenos distantes ou exclusivamente direcionados a grandes multinacionais.
As conversas revelam que os grupos escolhem as suas vítimas com base em critérios como a capacidade financeira aparente, a sensibilidade dos dados que possuem e, acima de tudo, a fragilidade das suas defesas digitais. Pequenas e médias empresas portuguesas podem ser alvos precisamente por investirem menos em cibersegurança do que as grandes corporações.
Três lições práticas que todos devemos aplicar
A primeira lição é a desconfiança saudável perante contactos não solicitados. Se alguém ligar a dizer ser do departamento de informática ou de um fornecedor de serviços, a pedir que se instale algum programa ou que se partilhem credenciais de acesso, o procedimento correto é desligar e confirmar a identidade dessa pessoa através de canais oficiais conhecidos. Os criminosos contam com a boa vontade e a pressão do momento para que as pessoas ajam sem pensar.
A segunda lição prende se com as cópias de segurança. Os ataques de ransomware são devastadores precisamente porque eliminam o acesso aos dados. Manter cópias de segurança regulares, guardadas em locais separados e desconectados da rede principal, é o equivalente digital de ter uma cópia da chave de casa em casa de um familiar de confiança.
A terceira lição é a importância das atualizações de software. Muitos dos ataques documentados nas conversas do Black Basta exploram vulnerabilidades conhecidas em sistemas desatualizados. As atualizações de segurança existem exatamente para fechar essas portas. Adiar uma atualização pode parecer insignificante, mas é o equivalente a deixar uma janela aberta numa casa onde sabemos que há ladrões no bairro.
Um momento de transparência involuntária com consequências reais
Ironicamente, a fuga que expôs o Black Basta é também um lembrete de que mesmo os criminosos cometem erros operacionais. A segurança das comunicações internas do grupo falhou, e isso custou lhes muito. Para os investigadores e para as equipas de cibersegurança em todo o mundo, estes documentos são uma fonte de informação inestimável sobre táticas, técnicas e procedimentos utilizados neste ecossistema criminoso.
Para o utilizador comum, esta história é um convite a levar a sério a segurança digital, não por paranoia, mas por responsabilidade. O crime organizado digital é real, está bem financiado e é altamente adaptável. A melhor defesa começa sempre pelo conhecimento.
Fonte: Notícia Original
