Oekraïense en Duitse wetshandhavingsautoriteiten hebben twee Oekraïners geïdentificeerd die ervan verdacht worden te werken voor de aan Rusland gelinkte ransomware-as-a-service (RaaS)-groep Black Basta.
Bovendien is de vermeende leider van de groep, een 35-jarige Russische staatsburger genaamd Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), toegevoegd aan de Most Wanted-lijsten van de Europese Unie en de Red Notice-lijsten van INTERPOL, merkten de autoriteiten op.
“Volgens het onderzoek waren de verdachten gespecialiseerd in het technisch hacken van beschermde systemen en waren ze betrokken bij het voorbereiden van cyberaanvallen met behulp van ransomware”, aldus de cyberpolitie van Oekraïne in een verklaring.
Volgens het agentschap fungeerden de verdachten als ‘hashcrackers’, die gespecialiseerd zijn in het extraheren van wachtwoorden uit informatiesystemen met behulp van gespecialiseerde software. Nadat de inloggegevens waren verkregen, braken leden van de ransomwaregroep in op bedrijfsnetwerken en zetten uiteindelijk ransomware in en persten geld af om de gecodeerde informatie te herstellen.
De autoriteiten voerden huiszoekingen uit in de woningen van de beklaagden in Ivano-Frankivsk en Lviv, waardoor ze digitale opslagapparaten en cryptocurrency-activa in beslag konden nemen.
Black Basta dook voor het eerst op in het dreigingslandschap in april 2022 en zou zich op meer dan 500 bedrijven in Noord-Amerika, Europa en Australië hebben gericht. De ransomwaregroep heeft naar schatting honderden miljoenen dollars aan cryptocurrency verdiend met illegale betalingen.
Begin vorig jaar lekten er voor een jaar aan interne chatlogboeken van Black Basta online, die een kijkje boden in de interne werking van de groep, haar structuur en belangrijkste leden, en de verschillende beveiligingsproblemen die werden uitgebuit om initiële toegang te krijgen tot organisaties van belang.
Het gelekte dossier ontmaskerde Nefedov ook als de leider van Zwarte Basta, en voegde eraan toe dat hij verschillende aliassen draagt, zoals Tramp, Trump, GG en AA. Sommige documenten beweerden dat Nefedov banden had met hooggeplaatste Russische politici en inlichtingendiensten, waaronder de FSB en de GRU.
Er wordt aangenomen dat Nefedov deze verbindingen heeft gebruikt om zijn operaties te beschermen en de internationale gerechtigheid te ontwijken. Uit een daaropvolgende analyse van Trellix bleek dat Nefedov zijn vrijheid kon veiligstellen ondanks zijn arrestatie in Yerevan, Armenië, in juni 2024. Zijn andere aliassen zijn onder meer kurva, Washingt0n en S.Jimmi. Hoewel Nefedov zich in Rusland zou bevinden, is zijn exacte verblijfplaats onbekend.
Bovendien zijn er aanwijzingen die Nefedov in verband brengen met Conti, een inmiddels ter ziele gegane groep die in 2020 ontstond als opvolger van Ryuk. In augustus 2022 kondigde het Amerikaanse ministerie van Buitenlandse Zaken een beloning van $ 10 miljoen aan voor informatie met betrekking tot vijf personen die banden hebben met de Conti-ransomwaregroep. Onder hen waren Target, Vagebond, Dandis, Professor en Reshaev.
Het is de moeite waard hier te vermelden dat Black Basta als een autonome groep opdook, naast BlackByte en KaraKurt, na de pensionering van het merk Conti in 2022. Andere leden sloten zich aan bij groepen als BlackCat, Hive, AvosLocker en HelloKitty, die nu allemaal niet langer actief zijn.
“Hij was het hoofd van de groep. Als zodanig besloot hij wie of welke organisaties het doelwit zouden zijn van aanvallen, rekruteerde hij leden, gaf hen taken, nam deel aan onderhandelingen over losgeld, beheerde het losgeld verkregen door afpersing en gebruikte het om de leden van de groep te betalen”, aldus de Duitse Federale Recherche (BKA of Bundeskriminalamt).
De lekken hebben geleid tot de schijnbare ondergang van Black Basta, waarbij de groep na februari zwijgt en later die maand het datalek opheft. Maar met ransomware-bendes waarvan bekend is dat ze hun deuren sluiten, een nieuwe naam geven en onder een andere identiteit weer opduiken, zal het niet verrassend zijn als leden van het voormalige criminele syndicaat zich naar andere ransomware-groepen wenden of nieuwe vormen.
Volgens rapporten van ReliaQuest en Trend Micro wordt vermoed dat een aantal van de voormalige Black Basta-filialen mogelijk zijn gemigreerd naar de CACTUS-ransomware-operatie – een beoordeling gebaseerd op het feit dat er in februari 2025 een enorme piek was in het aantal organisaties dat werd genoemd op de dataleksite van laatstgenoemde, die samenviel met het offline gaan van de site van Black Basta.
