Ukraina i Niemcy demaskują cyberprzestępców związanych z grupą Black Basta
Ukraińskie i niemieckie władze ścigania zidentyfikowały dwóch Ukraińców podejrzewanych o współpracę z grupą ransomware-as-a-service (RaaS) Black Basta, powiązaną z Rosją.
Co więcej, rzekomy lider grupy, 35-letni obywatel Rosji Oleg Ewgenjewicz Nefiedow (Нефедов Олег Евгеньевич), został umieszczony na liście Najbardziej Poszukiwanych przez Unię Europejską oraz na liście Czerwonej INTERPOL-u, jak podano w raportach.
„Według śledztwa, podejrzani specjalizowali się w technicznym hackingu chronionych systemów i brali udział w przygotowaniach cyberataków z użyciem ransomware” – stwierdziła Cyber Policja Ukrainy w komunikacie.
Agencja zaznaczyła, że oskarżeni działali jako „łamańcy haseł”, którzy ekstraktowali hasła z systemów informatycznych przy użyciu specjalistycznego oprogramowania. Po zdobyciu danych uwierzytelniających, członkowie grupy ransomware włamywali się do sieci korporacyjnych i ostatecznie uruchamiali ransomware, żądając okupu za odzyskanie zaszyfrowanych informacji.
Władze przeprowadziły przeszukania w miejscach zamieszkania oskarżonych w Iwano-Frankiwsku i Lwowie, co umożliwiło im konfiskatę urządzeń pamięci masowej oraz aktywów w kryptowalutach.
Czarna Basta i jej historia
Grupa Black Basta po raz pierwszy pojawiła się w krajobrazie zagrożeń w kwietniu 2022 roku i wymierzyła ataki w ponad 500 firm na całym świecie, w tym w Ameryce Północnej, Europie i Australii. Szacuje się, że grupa ta zarobiła setki milionów dolarów w kryptowalutach z nielegalnych płatności.
Na początku ubiegłego roku w internecie wyciekły roczne archiwa czatów wewnętrznych Black Basta, które oferowały wgląd w wewnętrzne struktury grupy, jej organizację oraz kluczowych członków, a także różnorodne luki w zabezpieczeniach, które były wykorzystywane do zdobywania początkowego dostępu do interesujących organizacji.
„Pełnił rolę przywódcy grupy. Jako taki, decydował, które organizacje będą celem ataków, rekrutował członków, przydzielał im zadania, brał udział w negocjacjach okupu, zarządzał uzyskanym okupu i wykorzystywał go do wypłacania wynagrodzeń członkom grupy” – powiedział przedstawiciel niemieckiego Federalnego Urzędu Kryminalnego (BKA).
Konsekwencje wycieków i przyszłość grupy Black Basta
Wyciek dokumentów doprowadził do pozornego upadku Black Basta, która milczała po lutym i usunęła swoją witrynę z danymi wycieków z końcem tego miesiąca. Warto jednak zauważyć, że grupy ransomware znane są z zamykania działalności, rebrandingów oraz ponownego pojawiania się pod nową tożsamością, więc możliwe jest, że członkowie byłego syndykatu przestępczego dołączą do innych grup ransomware lub utworzą nowe.
W rzeczy samej, według raportów z ReliaQuest oraz Trend Micro, podejrzewa się, że kilku byłych współpracowników Black Basta mogło przejść do operacji ransomware CACTUS. Ocena ta opiera się na dużym wzroście liczby organizacji wymienionych na stronie wycieków danych tej ostatniej grupy w lutym 2025 roku, co zbiegło się z zamknięciem witryny Black Basta.
