Las autoridades policiales ucranianas y alemanas han identificados dos ucranianos sospechosos de trabajar para el grupo de ransomware como servicio (RaaS) Black Basta, vinculado a Rusia.

Además, el presunto líder del grupo, un ciudadano ruso de 35 años llamado Oleg Evgenievich Nefedov (Nехедов олененевеневеч), ha sido adicional a la Unión Europea Los más buscados y de INTERPOL Aviso rojo listas, señalaron las autoridades.

«Según la investigación, los sospechosos se especializaron en el hackeo técnico de sistemas protegidos y participaron en la preparación de ciberataques con ransomware», dijo la Policía Cibernética de Ucrania en un comunicado.

La agencia dijo que las personas acusadas actuaban como «piratas informáticos», que se especializan en extraer contraseñas de los sistemas de información mediante software especializado. Una vez que se obtuvo la información sobre las credenciales, los miembros del grupo de ransomware irrumpieron en las redes corporativas y, finalmente, utilizaron el ransomware y extorsionaron con dinero para recuperar la información cifrada.

Las autoridades realizaron registros en las residencias de los acusados ubicadas en Ivano-Frankivsk y Lviv, lo que les permitió confiscar dispositivos de almacenamiento digital y activos en criptomonedas.

Basta negro surgió por primera vez en el panorama de las amenazas en abril de 2022, y se dice que se dirigió a más de 500 empresas de Norteamérica, Europa y Australia. Se estima que el grupo de ransomware ganó cientos de millones de dólares en criptomonedas gracias a pagos ilícitos.

A principios del año pasado, un año de registros de chat internos de Black Basta filtrado en línea , ofreciendo un vislumbrar en el funcionamiento interno del grupo , su estructura y miembros clave, y las diversas vulnerabilidades de seguridad explotadas para obtener acceso inicial a las organizaciones de interés.

El expediente filtrado también fue desenmascarado Nefedov como cabecilla de Black Basta, añadiendo que usa varios alias, como Tramp, Trump, GG y AA. Algunos documentos alegan que Nefedov tenía vínculos con políticos y agencias de inteligencia rusas de alto rango, incluidos el FSB y el GRU.

Se cree que Nefedov aprovechó estas conexiones para proteger sus operaciones y evadir la justicia internacional. Un análisis posterior de Trellix revelada que Nefedov pudo garantizar su libertad a pesar de haber sido arrestado en Ereván (Armenia) en junio de 2024. Sus otros alias incluyen kurva, Washingt0n y S.Jimmi. Aunque se dice que Nefedov está en Rusia, se desconoce su paradero exacto.

Además, hay pruebas que vinculan a Nefedov con Conti , un grupo ya desaparecido que surgió en 2020 como sucesor de Ryuk. En agosto de 2022, el Departamento de Estado de EE. UU. anunciado una recompensa de 10 millones de dólares por información relacionada con cinco personas asociadas con el grupo de ransomware Conti. Entre ellos se encontraban Target, Tramp, Dandis, Professor y Reshaev.

Vale la pena mencionar aquí que Black Basta surgió como un grupo autónomo, junto con BlackByte y KaraKurt, tras el retiro de la marca Conti en 2022. Otros miembros se unieron a grupos como Gato negro , Colmena , Casillero Avos , y Hola Kitty , todos los cuales ya no están activos.

«Se desempeñó como jefe del grupo. Como tal, decidió quién o qué organizaciones serían objeto de los ataques, reclutó a miembros, les asignó tareas, participó en las negociaciones para obtener un rescate, gestionó el rescate obtenido mediante extorsión y lo utilizó para pagar a los miembros del grupo», dijo la Oficina Federal de Policía Criminal de Alemania (BKA o Bundeskriminalamt).

Las filtraciones han llevado a la aparente desaparición de Black Basta, ya que el grupo permaneció en silencio después de febrero y retiró su filtración de datos ese mismo mes. Sin embargo, las bandas de ransomware son conocidas por cerrar, cambiar de marca y resurgir con una identidad diferente, no sería sorprendente que los miembros del antiguo sindicato delictivo pasaran a otros grupos de ransomware o formaran otros nuevos.

De hecho, según los informes de Relia Quest y Trend Micro , se sospecha que varias de las antiguas filiales de Black Basta podrían haber migrado a la operación de ransomware CACTUS, una evaluación basada en el hecho de que hubo un aumento masivo del número de organizaciones nombradas en el sitio de filtración de datos de esta última en febrero de 2025, coincidiendo con la desconexión del sitio de Black Basta.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.