Chats internos do grupo de ransomware Black Basta foram vazados, revelando suas operações e disputas internas. As mensagens, escritas em russo na plataforma Matrix, abrangem de setembro de 2023 a setembro de 2024 e foram divulgadas em 11 de fevereiro de 2025 pelo usuário ExploitWhispers. O motivo do vazamento teria sido a ofensiva do grupo contra bancos russos. Ativo desde abril de 2022, o Black Basta utilizava o malware QakBot (QBot) para seus ataques. Até o final de 2023, arrecadou cerca de US$ 107 milhões em Bitcoin de mais de 90 vítimas, afetando 500 empresas e infraestruturas críticas na América do Norte, Europa e Austrália.

Segundo a empresa suíça PRODAFT, o grupo está inativo desde o início de 2025 devido a conflitos internos. Alguns operadores recebiam resgates sem fornecer descriptografadores, e membros-chave migraram para os grupos CACTUS e Akira. Os registros de chat revelam que:

• Lapa e YY eram administradores do grupo;
• Cortes, do QakBot, tentou se afastar após os ataques a bancos russos;
• Trump, apelido de Oleg Nefedov, liderava o grupo;
• Um dos afiliados tinha apenas 17 anos;
• O grupo passou a usar engenharia social em seus ataques.

A investigação da Qualys revelou que o Black Basta explorava falhas conhecidas, configurações inadequadas e credenciais roubadas para invadir redes, abusando de servidores RDP expostos e VPNs com senhas fracas. Além disso, usavam plataformas legítimas como transfer.sh e send.vis.ee para distribuir malwares sem levantar suspeitas. O vazamento ocorre em meio ao aumento de ataques de outros grupos, como o Cl0p, que explora a falha CVE-2024-50623 e ameaça divulgar dados de vítimas. Paralelamente, a agência CISA alertou para a crescente atividade do Ghost, que ataca empresas em mais de 70 países. A análise da VulnCheck identificou 62 CVEs mencionadas nos chats, sendo 53 delas exploradas ativamente. O grupo priorizava grandes empresas e softwares amplamente usados, como Citrix NetScaler, Confluence Atlassian e Microsoft Windows.