BlackBasta dependia de hosting bulletproof russo

Investigações detalhadas por pesquisadores de segurança revelaram como a infraestrutura técnica russa sustenta grupos de cibercrime sob a fachada de empresas legítimas. A revelação veio a público após uma série de vazamentos de dados iniciados em fevereiro de 2025, quando o usuário de codinome ExploitWhispers divulgou no Telegram aproximadamente 200.000 mensagens internas do grupo de ransomware BlackBasta. As comunicações, datadas de setembro de 2023 a setembro de 2024, permitiram a identificação de operadores e o mapeamento de redes de suporte técnico localizadas na Rússia.

Identificação de operadores e empresas de fachada

O material exposto revelou a identidade de Kirill Zatolokin, conhecido no ambiente digital como Slim Shady, que exercia funções de suporte técnico e coordenação para o BlackBasta. Em março de 2025, um segundo vazamento disponibilizou o banco de dados da empresa Media Land. Embora operasse oficialmente como uma companhia russa de tecnologia, a entidade funcionava como a Yalishanda, um provedor de hospedagem do tipo bulletproof ativo desde 2009.

A base de dados continha configurações de servidores, registros de compras de clientes, informações de contas de usuários e endereços de carteiras de criptomoedas. A análise dos dados conduzida pela Analyst1 conectou a Media Land diretamente ao fornecimento de infraestrutura para ataques cibernéticos. O provedor garantia que reclamações de abuso fossem ignoradas, mantendo portais de pagamento e servidores de comando e controle ativos para criminosos.

Sanções internacionais e capacidade técnica

Em resposta às descobertas, o Departamento do Tesouro dos Estados Unidos, por meio do Escritório de Controle de Ativos Estrangeiros (OFAC), impôs sanções contra a Media Land e sua subsidiária, Data Center Kirishi, em 19 de novembro de 2025. A ação ocorreu em cooperação com autoridades da Austrália e do Reino Unido. Os principais alvos foram Aleksandr Volosovik, diretor da empresa e identificado como o operador Yalishanda, e Kirill Zatolokin.

As mensagens indicam que o grupo BlackBasta utilizava cerca de 200 servidores hospedados na infraestrutura da Media Land. O tráfego de dados consumido variava entre 17 e 20 gigabits por segundo, com projeções de expansão para 50 gigabits por segundo. Zatolokin gerenciava essas demandas através da conta @ohyehhellno no Telegram, oferecendo tratamento diferenciado para as operações de ransomware. Este modelo de negócio demonstra a profissionalização do ecossistema criminoso, onde grupos de invasão terceirizam a manutenção de servidores para focar exclusivamente na exfiltração de dados e extorsão de vítimas, utilizando a estrutura da BlackBasta como base de operações.