Las autoridades policiales de Ucrania y Alemania han identificado a dos ciudadanos ucranianos sospechosos de trabajar para el grupo de ransomware como servicio (RaaS) Black Basta, vinculado a Rusia.
Además, las autoridades señalaron que el presunto líder del grupo, el ruso Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), de 35 años, ha sido agregado a la Lista de los más buscados de la Unión Europea y a la Lista de notificaciones rojas de Interpol.
«Según la investigación, los sospechosos se especializaron en piratería técnica de sistemas protegidos y participaron en la preparación de ciberataques utilizando ransomware», dijo la policía cibernética de Ucrania en un comunicado.
Según la agencia, los sospechosos actuaban como «hash crackers» especializados en extraer contraseñas de sistemas de información utilizando un software especial. Una vez que se obtuvieron las credenciales, los miembros del grupo de ransomware se infiltraron en la red corporativa y finalmente implementaron el ransomware y extorsionaron para recuperar la información cifrada.
Las autoridades registraron las residencias del acusado en Ivanofrankivsk y Lviv y autorizaron la incautación de dispositivos de almacenamiento digital y activos de criptomonedas.
Black Basta apareció por primera vez en el mundo de las amenazas en abril de 2022 y se dice que apuntó a más de 500 empresas en América del Norte, Europa y Australia. Se estima que el grupo de ransomware ha ganado cientos de millones de dólares en criptomonedas mediante pagos ilegales.
A principios del año pasado, se filtraron en línea registros de chat internos de un año de Black Basta, lo que ofreció un vistazo al funcionamiento interno del grupo, su estructura y miembros clave, y las diversas vulnerabilidades de seguridad que fueron explotadas para obtener acceso inicial a organizaciones específicas.
Los documentos filtrados también revelaron que Nefedov es el cabecilla de Black Busta, y agregaron que utiliza varios alias, incluidos Trump, Trump, GG y AA. Algunos documentos afirman que Nefedov tiene vínculos con altos políticos rusos y agencias de inteligencia como el FSB y el GRU.
Se cree que Nefedov utilizó estas conexiones para proteger su negocio y evadir la justicia internacional. Un análisis posterior de Trellix reveló que Nefedov pudo asegurar su libertad a pesar de haber sido arrestado en Ereván, Armenia, en junio de 2024. Sus otros alias incluyen Kuruba, Washington y S. Jimi. Se dice que Nefedov se encuentra en Rusia, pero se desconoce su paradero exacto.
También hay pruebas que vinculan a Nefedov con Conti, un grupo ya desaparecido que se creó en 2020 como sucesor de Ryuk. En agosto de 2022, el Departamento de Estado de EE. UU. anunció una recompensa de 10 millones de dólares por información sobre cinco personas asociadas con el grupo de ransomware Conti. Entre ellos estaban Target, Trump, Dandis, Professor y Resyaev.
Vale la pena mencionar aquí que después de que la marca Conti fuera discontinuada en 2022, Black Basta surgió como un grupo autónomo junto con BlackByte y KaraKurt. Otros miembros se unieron a grupos como BlackCat, Hive, AvosLocker y HelloKitty, todos los cuales ya no existen.
La Oficina Federal de Policía Criminal de Alemania (BKA, Bundcriminalamt) dijo: «Se desempeñó como jefe del grupo. Como tal, decidió quién o qué organización sería el objetivo del ataque, reclutó miembros, asignó tareas, participó en negociaciones de rescate, controló el dinero del rescate obtenido mediante extorsión y lo utilizó para pagar a los miembros del grupo».
La violación provocó la aparente desaparición de Black Basta, y el grupo permaneció en silencio desde febrero y eliminó la violación de datos ese mismo mes. Sin embargo, se sabe que las bandas de ransomware permanecen inactivas, cambian de nombre y reaparecen con diferentes identidades, por lo que no sería sorprendente que miembros de antiguas organizaciones criminales pasaran a otros grupos de ransomware o formaran nuevos grupos de ransomware.
De hecho, se sospecha que varios antiguos afiliados de Black Basta han pasado a operaciones de ransomware CACTUS, según informes de ReliaQuest y Trend Micro. Esta evaluación se basa en el hecho de que el sitio Black Basta se desconectó en febrero de 2025, lo que coincidió con un aumento masivo en el número de organizaciones nombradas en el sitio de violación de datos de este último.
Source link
