Las fuerzas policiales de Ucrania y Alemania han identificado a dos ciudadanos ucranianos supuestamente asociados con Black Basta, un grupo de ransomware por suscripción (RaaS) vinculado a Rusia.
Además, Oleg Evgenievich Nefedov (Нефедов Олег Евгеньевич), presunto líder del grupo y nacional ruso de 35 años, ha sido incluido en las listas de personas más buscadas de la Unión Europea y en notificaciones rojas de INTERPOL, según informaron las autoridades.
Según la agencia, los acusados actuaban como «crackers de hash», especializados en la extracción de contraseñas a través de software específico. Después de acceder a las credenciales, el grupo de ransomware infiltraba redes corporativas, implementando ransomware y extorsionando a las víctimas para recuperar la información cifrada.
Black Basta emergió en el panorama criminal en abril de 2022 y ha atacado a más de 500 empresas en Norteamérica, Europa y Australia. Se estima que el grupo ha recaudado cientos de millones de dólares en criptomonedas mediante pagos extorsivos.
A inicios del año anterior, se filtraron registros de chats internos de Black Basta, proporcionado una visión de su funcionamiento interno y de las vulnerabilidades de seguridad que explotaban para acceder a organizaciones de interés.
La información revelada también identificó a Nefedov como el líder del grupo, destacando sus múltiples alias, como Tramp, Trump, GG y AA. Algunos documentos insinuaban sus conexiones con políticos rusos y agencias de inteligencia, incluyendo el FSB y el GRU.
Se sospecha que Nefedov utilizó estas conexiones para proteger sus operaciones y evitar ser capturado. Un análisis posterior reveló que logró liberarse tras ser arrestado en Ereván, Armenia, en junio de 2024. Su localización actual se desconoce, aunque se cree que está en Rusia.
Adicionalmente, hay indicios que lo relacionan con Conti, un grupo que dejó de operar, el cual surgió en 2020 como sucesor de Ryuk. En agosto de 2022, el Departamento de Estado de EE.UU. ofreció una recompensa de 10 millones de dólares por información sobre cinco personas asociadas con Conti, incluidos Target, Tramp, Dandis, Professor y Reshaev.
Es relevante señalar que Black Basta surgió como un grupo autónomo, junto a BlackByte y KaraKurt, tras el desmantelamiento de Conti en 2022. Otros miembros se integraron en organizaciones como BlackCat, Hive, AvosLocker y HelloKitty, las cuales están inactivas actualmente.
Un nuevo informe de Analyst1 reveló la fuerte dependencia de Black Basta de Media Land, un proveedor de servicios de alojamiento bulletproof, sancionado por Estados Unidos, el Reino Unido y Australia en noviembre de 2025, junto con su CEO, Aleksandr Volosovik (alias Yalishanda). A pesar de esta sanción, se alegaba que el grupo recibía un trato preferencial.
Según la Oficina Federal de Policía Criminal de Alemania, «Nefedov era el líder del grupo y tomaba decisiones sobre los objetivos de los ataques, reclutaba miembros, asignaba tareas, negociaba rescates y administraba el dinero obtenido por extorsión.»
Las filtraciones han llevado a la aparente desaparición de Black Basta, que se mantuvo en silencio tras febrero y cerró su filtración de datos a finales de ese mes. Sin embargo, es conocido que los grupos de ransomware tienden a desaparecer y resurgir bajo nuevas identidades, por lo que no sería sorprendente que los miembros de la antigua organización se unieran a otros grupos o formaran nuevos.
De hecho, informes de ReliaQuest y Trend Micro sugieren que varias exfiliales de Black Basta podrían haber transitado a la operación de ransomware CACTUS, coincidiendo con un notable aumento de menciones en su sitio web en febrero de 2025, justo cuando el sitio de Black Basta colapsó.
Fuente:
THN
Con Información de blog.segu-info.com.ar