A investigação coordenada entre as autoridades da Ucrânia e da Alemanha forneceu novos dados sobre a estrutura e operações de uma das bandas de ransomware mais sonadas dos últimos anos. Segundo comunicados oficiais, foram identificados dois cidadãos ucranianos supostamente ligados ao grupo Black Basta e se situaram ao que as pesquisas apontam como seu líder, um homem nascido na Rússia, em listas internacionais de busca. Trata-se de um golpe relevante contra uma organização que, desde o seu aparecimento em 2022, causou danos a centenas de empresas em vários continentes.
O corpo de polícia cibernética da Ucrânia descreveu que os presos atuavam como especialistas técnicos encarregados de comprometer sistemas protegidos através de ferramentas para decifrar senhas – os conhecidos “hash crackers” – e facilitar o acesso inicial a redes corporativas. Uma vez obtidas credenciais valiosas, os atacantes penetravam em infra-estruturas, executavam ransomware e exigiam pagamentos em criptomoeda em troca da recuperação de dados. Este papel técnico, menos visível do que o de quem negocia os resgates, é, no entanto, fundamental para o funcionamento do esquema criminoso. A nota oficial do organismo ucraniano pode ser consultada aqui: Cyber Police of Ukraine.
Por seu lado, o Gabinete Federal de Investigação Criminal Alemã (BKA) integrou os seus arquivos e as autoridades europeias adicionaram a sua ficha aos listados de pessoas mais procuradas da União Europeia e da INTERPOL, o que facilita a cooperação internacional para a sua localização e detenção. A ficha do BKA e as listas internacionais estão disponíveis publicamente: BKA, EU Most Wanted, INTERPOL Red Notice.
As operações de registro nas casas dos suspeitos, realizadas em cidades ucranianas como Ivano-Frankivsk e Leópolis, permitiram apreender dispositivos de armazenamento digital e ativos em criptomoedas, elementos que costumam constituir o principal teste em pesquisas de ciberdelinquência. A recuperação de evidências digitais e de fundos virtuais é fundamental para reconstruir a cadeia de ações e para possíveis processos judiciais.
Black Basta emergiu na cena pública na primavera de 2022 e, quase imediatamente, começou a expandir sua lista de vítimas pela América do Norte, Europa e Oceania. Fontes de inteligência em cibersegurança e análise forense estimam que suas operações teriam gerado renda por centenas de milhões de dólares em criptomoedas a partir de resgates. Uma violação maciça dos chats internos do grupo, publicada posteriormente, abriu uma janela para a sua organização interna, seus métodos de acesso inicial e a identidade de membros-chave da equipe. Relatórios e análises sobre essa filtração podem ser consultados nos inquéritos de empresas especializadas: S-RM e KELA.
Entre os documentos filtrados apareceu o nome que as autoridades vinculam a liderança: um indivíduo que teria usado numerosas alias para operar em fóruns clandestinos e coordenar a atividade do bloco criminoso. Algumas peças de filtragem sugerem conexões com atores estatais e estruturas de inteligência, uma acusação que, de se confirmar, explicaria em parte a capacidade desses grupos para se proteger de certas ações legais e migrar entre jurisdições. Os analistas que trabalharam sobre a filtragem detalham esses vínculos e suas implicações em suas publicações acima referidas.
O destino de seu suposto líder ilustra a complexidade de perseguir cibercriminais transnacionais: há relatos de detenções seguidas de extrações, marchas burocráticas e, em algum caso, liberações que permitem aos suspeitos voltar a desaparecer. Embora as autoridades afirmem que o indivíduo está atualmente na Rússia e seu paradeiro exato não é conhecido, sua inclusão nos listados internacionais busca fechar opções de impunidade. A resposta jurídica e diplomática é tão importante quanto a técnica para afetar a continuidade dessas organizações.
Do ponto de vista criminal, Black Basta não nasceu no vácuo: seu aparecimento foi parte de um corrimento no ecossistema do ransomware após o desaparecimento de marcas anteriores como Conti. Essas rupturas e fusões entre bandas geralmente dão lugar a novos nomes, redistribuções de talento e reciclagem de táticas. O fenômeno de rebrandings e migrações de afiliados é uma constante neste mundo, o que significa que o silêncio de uma web de vazamentos ou a queda de um portal de extorsão não garantem o fim da ameaça. Uma análise recente sobre como grupos fecham operações e resurgem sob novas etiquetas pode ser vista nesta revisão sobre o colapso e suas consequências: Barracuda.
Na verdade, após o desaparecimento do site público Black Basta, empresas de inteligência detectaram uma onda de nomes de empresas afetadas listadas em um novo serviço de filtragem associado a um ator chamado CACTUS, sugerindo movimento interno de afiliados para outra operação criminosa. As mudanças súbitas nas "talhas" públicas destas bandas são geralmente uma pista para as equipes de resposta e para os corpos policiais que rastreiam as redes de afiliados. Pesquisas complementares de empresas de cibersegurança e centros de resposta corporativa documentaram esse salto e seus possíveis autores.
Para as empresas e os responsáveis pela segurança, a lição é clara: a ameaça não se reduz a um nome reconhecível, mas sim a padrões operacionais que se repetem —exploração de vulnerabilidades, roubo de credenciais, cifra em massa e exigência de pagamentos em criptomoeda — e que podem reaparecer com atores distintos. Investir em detecção precoce, segmentação de redes e gestão rigorosa de credenciais reduz a superfície de ataque onde os "hash crackers" e outros especialistas técnicos tentam agir.
No plano penal e diplomático, a cooperação multinacional e o intercâmbio rápido de informações forenses demonstram ser ferramentas determinantes: a identificação de membros em diferentes países, a apreensão de ativos digitais e a colocação em listas internacionais de busca enfraquecem a logística e a impunidade dessas bandas. No entanto, a perseguição exige perseverança e recursos, porque os atores maliciosos se adaptam rapidamente.
O caso que agora avança entre tribunais e órgãos policiais é um lembrete de que a luta contra o ransomware é híbrida: tecnológica, legal e geopolítica ao mesmo tempo. Enquanto as autoridades atuam sobre pessoas e estruturas concretas, as organizações do setor e as equipes de cibersegurança devem manter as defesas atualizadas e aprender com cada filtração ou incidente para endurecer controles. Se quiser aprofundar os comunicados e análises oficiais citados neste texto, aqui tem as fontes primárias consultadas: Cyber Police of Ukraine, BKA, EU Most Wanted, INTERPOL, S-RM, KELA e Barracuda.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...