As autoridades da Ucrânia e da Alemanha confirmaram a identidade do líder do grupo de ransomware Black Basta, que passou a figurar nas listas de procurados da Europol e da Interpol.
O escritório alemão da polícia criminal federal (Bundeskriminalamt - BKA) identificou Oleg Evgenievich Nefedov, russo de 35 anos, como chefe da quadrilha.
A polícia ucraniana, em cooperação com as autoridades alemãs, também apontou dois outros indivíduos supostamente envolvidos na operação e realizou buscas em dois locais nas regiões de Ivano-Frankivsk e Lviv.
Segundo a polícia, esses suspeitos eram responsáveis pelo acesso inicial às redes das vítimas, preparando o terreno para as fases seguintes do ataque de ransomware.
“Os investigados eram especializados em invadir sistemas protegidos e participaram da preparação dos ataques cibernéticos baseados em ransomware”, explicou a polícia ucraniana.
Além disso, os criminosos atuavam como “hash crackers” — hackers que utilizam softwares específicos para extrair senhas de contas dentro dos sistemas-alvo.
Após obter as credenciais de funcionários das empresas, eles invadiam sistemas internos e elevavam os privilégios das contas comprometidas.
Durante as investigações, a polícia ucraniana apreendeu dispositivos digitais e ativos em criptomoedas nos locais onde os dois suspeitos foram encontrados.
Oleg Nefedov, conhecido online por diversos apelidos como tramp, tr, gg, kurva, AA, Washingt0n e S.Jimmi, está vinculado à operação desde fevereiro, quando mais de 200 mil mensagens de bate-papo entre membros do Black Basta foram vazadas.
Ele é considerado o fundador e líder do grupo, mas há evidências que o conectam ao Conti, uma rede de ransomware que encerrou suas atividades em 2022.
O Conti, criado em 2020 como sucessor do Ryuk, se fragmentou após o fechamento, dando origem a células menores — uma delas foi o Black Basta, visto como uma rebranding do antigo grupo.
Pesquisadores da Trellix analisaram as mensagens vazadas e encontraram conversas entre usuários chamados GG e Chuck sobre uma recompensa de US$ 10 milhões por informações sobre o “tr” (possivelmente “-amp”), em referência à recompensa americana para cinco membros do Conti, incluindo o hacker Tramp.
Em um dos chats, GG foi identificado como Tramp, líder do Conti, por um usuário chamado “bio” (também conhecido como “pumba”, outro integrante do Conti).
É importante lembrar que, em fevereiro de 2022, após a invasão da Ucrânia pela Rússia, um pesquisador vazou chats internos do Conti em que Tramp foi citado como líder da operação.
Apesar das conexões anteriores, as autoridades confirmaram oficialmente Oleg Nefedov como líder do Black Basta, incluindo-o nas listas internacionais de procurados da Europol (“Most Wanted”) e da Interpol (“Red Notice”).
O Black Basta, que opera no modelo ransomware-as-a-service (RaaS) desde abril de 2022, é responsável por pelo menos 600 incidentes envolvendo ransomware, roubo de dados e extorsão contra grandes organizações ao redor do mundo.
Entre as vítimas notáveis estão a empresa alemã de defesa Rheinmetall, a divisão europeia da Hyundai, o grupo BT (antiga British Telecom), a gigante americana de saúde Ascension, a contratante governamental ABB, a American Dental Association, a firma britânica de outsourcing Capita, a Biblioteca Pública de Toronto e o Yellow Pages do Canadá.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...