Leitura técnica das revelações mostra como um provedor de hosting e operadores coordenaram infraestrutura resistente a takedowns para sustentar operações do grupo BlackBasta.
Descoberta e escopo
Fontes públicas reunidas pelo relatório indicam que, em fevereiro de 2025, um ator com o apelido ExploitWhispers vazou um arquivo JSON contendo cerca de 200.000 mensagens do grupo BlackBasta que cobrem o período entre setembro de 2023 e setembro de 2024. Uma segunda divulgação, em março de 2025, incluiu uma base de dados ligada à empresa Media Land — que, segundo as investigações, operava como o provedor bulletproof conhecido como Yalishanda.
O que os leaks mostram
As mensagens expostas e os arquivos da base de dados documentam comunicações operacionais, configurações de servidores, registros de clientes, contas de usuários e endereços de carteiras de criptomoedas. Entre as identidades ligadas ao ecossistema figura Kirill Zatolokin (conhecido como Slim Shady), identificado nas trocas como contato técnico entre BlackBasta e o provedor.
Vínculos operacionais e capacidade técnica
Os chats revelaram que BlackBasta mantinha aproximadamente 200 servidores através da infraestrutura da Media Land/Yalishanda, consumindo inicialmente entre 17 e 20 gigabits por segundo, com planos documentados de expansão até 50 Gbps. Mensagens de coordenação incluem resultados de testes de velocidade, cálculos de largura de banda e recomendações de upgrade, o que indica um suporte técnico dedicado e contínuo.
Consequências regulatórias e nomeações
Relatos públicos apontam que, em 19 de novembro de 2025, o Office of Foreign Assets Control (OFAC) do Departamento do Tesouro dos EUA, em conjunto com autoridades da Austrália e do Reino Unido, impôs sanções contra a Media Land e sua subsidiária Data Center Kirishi. Dois indivíduos foram citados diretamente: Aleksandr Volosovik (associado ao nome Yalishanda) e Kirill Zatolokin, este último descrito nas comunicações como responsável pelo suporte técnico e coordenação.
Evidências, limites e lacunas
As fontes documentadas no material vazado dão visibilidade incomum sobre a cadeia de infraestrutura: arquivos de configuração, registros financeiros e comunicação operacional. No entanto, o material público disponível não detalha todos os clientes da Media Land nem quantifica vítimas finais de ataques executados com suporte dessa infraestrutura. Também faltam publicações oficiais de autoridades brasileiras ligando essas infraestruturas a incidentes no país.
Implicações para defesa e resposta
- Resiliência da cadeia criminosa: o modelo mostra como operadores terceirizam infraestrutura para fornecedores que ignoram denúncias (bulletproof hosting), reduzindo a necessidade de gerenciamento técnico direto pelos grupos de ransomware.
- Prioridade em inteligência de rede: evidências de endereços de servidores, padrões de largura de banda e domínios usados podem ser incorporadas a listas de bloqueio e estratégias de hunt.
- Coordenação internacional: as sanções indicam que medidas administrativas e financeiras são instrumentos usados para interromper provedores; equipes de resposta devem coordenar com unidades legais e internacionais quando identificarem serviços similares.
Repercussão
Analistas destacam que a professionalização do ecossistema criminal — com empresas de fachada, provedores técnicos e suporte operacional — complica tanto a atribuição quanto a mitigação. As sanções administrativas são um passo, mas não substituem ações técnicas contínuas de comunidade, ISPs e provedores de infraestrutura para detectar e derrubar serviços abusivos.
Fontes: reportagem do Cyber Security News com base nos leaks de 2025, análise de Analyst1 e comunicados de sanções públicos mencionados no material disponível.