Las autoridades policiales ucranianas y alemanas
han identificado
a dos ucranianos sospechosos de trabajar para Black Basta, un grupo de
ransomware como servicio (RaaS), vinculado a Rusia.
Además, el presunto líder del grupo, Oleg Evgenievich Nefedov (Нефедов Олег
Евгеньевич), ciudadano ruso de 35 años, ha sido
incluido
en las listas de los
más buscados
de la Unión Europea y de
notificaciones rojas de INTERPOL, según informaron las autoridades.
La agencia indicó que los acusados actuaban como «crackers de hash»,
especializados en extraer contraseñas de sistemas informáticos mediante
software especializado. Una vez obtenida la información de las credenciales,
los miembros del grupo de ransomware irrumpían en las redes corporativas y,
finalmente, implementaron el ransomware y extorsionaron para recuperar la
información cifrada.
Black Basta
surgió
en el panorama de amenazas en abril de 2022 y, según se informa, ha atacado a
más de 500 empresas en Norteamérica, Europa y Australia. Se estima que el
grupo de ransomware obtuvo cientos de millones de dólares en criptomonedas
mediante pagos ilícitos.
A principios del año pasado,
se filtraron en línea
registros de chat internos de Black Basta correspondientes a un año completo,
lo que
ofrece un vistazo
al
funcionamiento interno del grupo, su estructura y miembros clave, así como a las diversas vulnerabilidades de
seguridad explotadas para
obtener acceso inicial
a organizaciones de interés.
El expediente filtrado también desenmascaró a
Nefedov
como el cabecilla de Black Basta, añadiendo que utiliza varios alias, como
Tramp, Trump, GG y AA. Algunos documentos alegaban que Nefedov tenía vínculos
con políticos rusos de alto rango y agencias de inteligencia, como el FSB y el
GRU.
Se cree que Nefedov aprovechó estas conexiones para proteger sus operaciones y
evadir la justicia internacional. Un
análisis posterior de Trellix reveló
que Nefedov logró obtener su libertad a pesar de ser arrestado en Ereván,
Armenia, en junio de 2024. Sus otros alias incluyen kurva, Washingt0n y
S.Jimmi. Aunque se dice que Nefedov se encuentra en Rusia, se desconoce su
paradero exacto.
Además, existen pruebas que vinculan a Nefedov con Conti, un grupo ya extinto
que surgió en 2020 como sucesor de Ryuk. En agosto de 2022, el Departamento de
Estado de EE.UU. anunció una recompensa de 10 millones de dólares por
información relacionada con cinco personas asociadas con el grupo de
ransomware Conti. Entre ellas se encontraban Target, Tramp, Dandis, Professor
y Reshaev.
Cabe mencionar que Black Basta surgió como grupo autónomo, junto con BlackByte
y KaraKurt, tras el retiro de la marca Conti en 2022. Otros miembros se
unieron a grupos como BlackCat, Hive, AvosLocker y HelloKitty, todos ellos
inactivos en este momento.
Otro informe detallado
publicado por Analyst1
esta semana también reveló la gran dependencia de Black Basta de Media Land,
un proveedor de servicios de alojamiento bulletproof
sancionado por Estados Unidos, el Reino Unido y Australia en noviembre de 2025, junto con su director
general, Aleksandr Volosovik (alias Yalishanda). A pesar de la infraestructura
adquirida a través de Media Land, se afirma que el grupo recibió un trato VIP.
«[Nefedov] era el líder del grupo. Como tal, decidía quién o qué
organizaciones serían el objetivo de los ataques, reclutaba miembros, les
asignaba tareas, participaba en las negociaciones de rescates, gestionaba el
rescate obtenido mediante extorsión y lo utilizaba para pagar a los miembros
del grupo», declaró la Oficina Federal de Policía Criminal de Alemania (BKA o
Bundeskriminalamt).
Las filtraciones han provocado la aparente desaparición de Black Basta, que
permaneció en silencio después de febrero y desmanteló su filtración de datos
a finales de ese mismo mes. Pero dado que se sabe que
las bandas de ransomware desaparecen, cambian de nombre y resurgen con una
identidad diferente, no sorprenderá que los miembros del antiguo sindicato criminal se unan a
otros grupos de ransomware o formen otros nuevos.
De hecho, según
informes de ReliaQuest
y
Trend Micro, se sospecha que varias de las antiguas filiales de Black Basta podrían
haber migrado a la operación de ransomware CACTUS. Esta evaluación se basa en
el hecho de que hubo un aumento masivo de organizaciones mencionadas en el
sitio web de esta última en febrero de 2025, coincidiendo con la caída del
sitio web de Black Basta.
Fuente:
THN