Las autoridades policiales ucranianas y alemanas han identificado dos ucranianos sospechosos de trabajar para el grupo de ransomware como servicio (RaaS) Black Basta, vinculado a Rusia.
Además, el presunto líder del grupo, un ciudadano ruso de 35 años llamado Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), ha sido agregado a la Unión Europea Los más buscados y de INTERPOL Aviso rojo listas, señalaron las autoridades.
«Según la investigación, los sospechosos se especializaron en piratería técnica de sistemas protegidos y participaron en la preparación de ciberataques utilizando ransomware», dijo la Policía Cibernética de Ucrania en un comunicado.
La agencia dijo que los individuos acusados funcionaban como «hash crackers», que se especializan en extraer contraseñas de sistemas de información utilizando software especializado. Una vez que se obtuvo la información de las credenciales, los miembros del grupo de ransomware irrumpieron en las redes corporativas y finalmente implementaron ransomware y extorsionaron para recuperar la información cifrada.
Las autoridades realizaron registros en las residencias de los acusados ubicadas en Ivano-Frankivsk y Lviv, lo que les permitió incautar dispositivos de almacenamiento digital y activos de criptomonedas.
Basta negra surgió por primera vez en el panorama de amenazas en abril de 2022 y se dice que apuntó a más de 500 empresas en América del Norte, Europa y Australia. Se estima que el grupo de ransomware ha ganado cientos de millones de dólares en criptomonedas gracias a pagos ilícitos.
A principios del año pasado, un año de registros de chat internos de Black Basta filtrado en líneaofreciendo un vistazo en el funcionamiento interno del gruposu estructura y miembros clave, y las diversas vulnerabilidades de seguridad explotadas para obtener acceso inicial a organizaciones de interés.
El expediente filtrado también desenmascara Nefedov como cabecilla de Black Basta, y agrega que tiene varios alias, como Tramp, Trump, GG y AA. Algunos documentos alegaban que Nefedov tenía vínculos con políticos y agencias de inteligencia rusos de alto rango, incluidos el FSB y el GRU.
Se cree que Nefedov aprovechó estas conexiones para proteger sus operaciones y evadir la justicia internacional. Un análisis posterior de Trellix reveló que Nefedov pudo conseguir su libertad a pesar de haber sido arrestado en Ereván, Armenia, en junio de 2024. Sus otros alias incluyen kurva, Washingt0n y S.Jimmi. Aunque se dice que Nefedov se encuentra en Rusia, se desconoce su paradero exacto.
Además, hay pruebas que vinculan a Nefedov con contiun grupo ahora desaparecido que surgió en 2020 como sucesor de Ryuk. En agosto de 2022, el Departamento de Estado de EE. UU. anunciado una recompensa de 10 millones de dólares por información relacionada con cinco personas asociadas con el grupo de ransomware Conti. Entre ellos estaban Target, Tramp, Dandis, Professor y Reshaev.
Vale la pena mencionar aquí que Black Basta surgió como un grupo autónomo, junto con BlackByte y KaraKurt, tras el retiro de la marca Conti en 2022. Otros miembros se unieron a grupos como gato negro, Colmena, AvosLockery holagatitatodos los cuales ya no están activos.
«Él actuó como líder del grupo. Como tal, decidió quién o qué organizaciones serían los objetivos de los ataques, reclutó miembros, les asignó tareas, participó en las negociaciones de rescate, gestionó el rescate obtenido mediante extorsión y lo utilizó para pagar a los miembros del grupo», dijo la Oficina Federal de Policía Criminal de Alemania (BKA o Bundeskriminalamt).
Las filtraciones han llevado a la aparente desaparición de Black Basta, ya que el grupo permaneció en silencio después de febrero y retiró su filtración de datos ese mismo mes. Pero con bandas de ransomware conocidas por cerrar, cambiar de marca y resurgir Bajo una identidad diferente, no será sorprendente que los miembros del antiguo sindicato criminal pasen a otros grupos de ransomware o formen otros nuevos.
De hecho, según informes de ReliaQuest y Tendencia Microse sospecha que varios de los antiguos afiliados de Black Basta podrían haber migrado a la operación de ransomware CACTUS, una evaluación basada en el hecho de que hubo un aumento masivo de organizaciones nombradas en el sitio de filtración de datos de este último en febrero de 2025, coincidiendo con la desconexión del sitio de Black Basta.
Fuente