Las autoridades policiales de Ucrania y Alemania han identificado a dos ucranianos sospechosos de trabajar para el grupo de ransomware como servicio (RaaS) Black Basta, vinculado a Rusia.
Además, el presunto líder del grupo, un ciudadano ruso de 35 años llamado Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), fue agregado a la lista de los más buscados de la Unión Europea y a la lista de Notificaciones Rojas de INTERPOL, señalaron las autoridades.
“Según la investigación, los sospechosos se especializaron en piratería técnica de sistemas protegidos y participaron en la preparación de ciberataques utilizando ransomware”, dijo un comunicado de la Policía Cibernética de Ucrania.
La agencia dijo que los individuos acusados actuaron como “hash crackers” que se especializaban en extraer contraseñas de sistemas de información utilizando un software especial. Después de obtener las credenciales, los miembros del grupo de ransomware irrumpieron en las redes corporativas y finalmente implementaron ransomware y extorsionaron para recuperar la información cifrada.
Las autoridades realizaron registros en las casas de los acusados en Ivano-Frankivsk y Lviv, lo que les permitió confiscar dispositivos de almacenamiento digital y tenencias de criptomonedas.
Black Basta apareció por primera vez en el panorama de amenazas en abril de 2022 y se dice que apuntó a más de 500 empresas en América del Norte, Europa y Australia. Se estima que el grupo de ransomware ha ganado cientos de millones de dólares en criptomonedas mediante pagos ilegales.
A principios del año pasado, se filtraron en línea los registros de chat internos de Black Basta durante un año, lo que ofrece un vistazo al funcionamiento interno del grupo, su estructura y miembros clave, así como las diversas vulnerabilidades de seguridad explotadas para obtener acceso inicial a organizaciones de interés.
El expediente filtrado también expone a Nefedov como el cabecilla de Black Basta, añadiendo que utiliza varios alias como Tramp, Trump, GG y AA. Algunos documentos alegaban que Nefedov tenía vínculos con políticos y servicios de inteligencia rusos de alto rango, incluidos el FSB y el GRU.
Se cree que Nefedov utilizó estas conexiones para proteger sus operaciones y evadir la justicia internacional. Un análisis posterior realizado por Trellix encontró que Nefedov pudo asegurar su libertad a pesar de su arresto en junio de 2024 en Ereván, Armenia. Sus otros seudónimos incluyen kurva, Washingt0n y S.Jimmi. Aunque, según informes, Nefedov se encuentra en Rusia, se desconoce su paradero exacto.
Además, hay evidencia de que Nefedov está conectado con Conti, un grupo ahora desaparecido que surgió en 2020 como sucesor de Ryuk. En agosto de 2022, el Departamento de Estado de EE. UU. anunció una recompensa de 10 millones de dólares por información sobre cinco personas asociadas con el grupo de ransomware Conti. Estos incluían a Target, Tramp, Dandis, Professor y Reshaev.
Cabe mencionar aquí que tras la retirada de la marca Conti en 2022, Black Basta surgió como un grupo independiente junto a BlackByte y KaraKurt. Otros miembros se unieron a grupos como BlackCat, Hive, AvosLocker y HelloKitty, todos los cuales ya no existen.
“Él actuó como líder del grupo. Como tal, decidió quién o qué organizaciones debían ser el objetivo de los ataques, reclutó miembros, les asignó tareas, participó en negociaciones de rescate, gestionó el rescate extorsionado y lo utilizó para pagar a los miembros del grupo”, informó la Oficina Federal de Policía Criminal (BKA).
Las filtraciones llevaron a la aparente caída de Black Basta, ya que el grupo permaneció en silencio después de febrero y limpió la filtración de datos ese mismo mes. Pero dado que se sabe que las bandas de ransomware cierran, cambian de nombre y resurgen con una identidad diferente, no será sorprendente que los miembros del antiguo sindicato criminal pasen a otros grupos de ransomware o inicien otros nuevos.
Según informes de ReliaQuest y Trend Micro, en realidad se sospecha que varias de las antiguas filiales de Black Basta pueden haber desertado a la operación de ransomware CACTUS, una evaluación basada en el hecho de que hubo un aumento masivo de organizaciones nombradas en el sitio web de filtración de datos de este último en febrero de 2025, que coincidió con la desconexión del sitio web de Black Basta.
About The Author
