Η ταυτότητα του αρχηγού συμμορίας ransomware Black Basta επιβεβαιώθηκε από τις αρχές επιβολής του νόμου στην Ουκρανία και τη Γερμανία και το άτομο προστέθηκε στη λίστα καταζητούμενων της Europol και της Interpol.
Η Ομοσπονδιακή Υπηρεσία Εγκληματικής Αστυνομίας (BKA) της Γερμανίας αναγνώρισε τον Oleg Evgenievich Nefedov, έναν 35χρονο Ρώσο υπήκοο, ως αρχηγό της συμμορίας ransomware Black Basta.
Η ουκρανική αστυνομία σε συνεργασία με τις γερμανικές αρχές εντόπισε επίσης δύο επιπλέον άτομα που φέρεται να εργάζονταν για την επιχείρηση ransomware και πραγματοποίησαν επιδρομές σε δύο τοποθεσίες στις περιοχές Ivano-Frankivsk και Lviv.
Η αστυνομία λέει ότι οι δύο ύποπτοι ειδικεύτηκαν στην απόκτηση αρχικής πρόσβασης σε δίκτυα-στόχους και προετοίμασαν το έδαφος για τις επόμενες φάσεις της επίθεσης ransomware.
“Σύμφωνα με τους ερευνητές, οι ύποπτοι ειδικεύονταν στην τεχνική παραβίαση προστατευμένων συστημάτων και συμμετείχαν στην προετοιμασία κυβερνοεπιθέσεων βασισμένων σε ransomware”, δήλωσε ο Ουκρανός. είπε η κυβερνοαστυνομία.
«Οι εισβολείς εκτέλεσαν τις λειτουργίες των λεγόμενων κατακερματισμών κατακερματισμού – ατόμων που ειδικεύονται στην εξαγωγή κωδικών πρόσβασης σε λογαριασμούς από συστήματα πληροφοριών χρησιμοποιώντας εξειδικευμένο λογισμικό», εξηγεί το δελτίο τύπου.
Αφού έλαβαν τα διαπιστευτήρια πρόσβασης που ανήκαν σε υπαλλήλους της εταιρείας, οι ύποπτοι παραβίασαν τα εσωτερικά εταιρικά συστήματα και αύξησαν τα προνόμια των κλεμμένων λογαριασμών.
Κατά τη διάρκεια των επιδρομών στις τοποθεσίες των δύο ύποπτων μελών της ομάδας χάκερ που συνδέεται με τη Ρωσία, η ουκρανική αστυνομία κατέσχεσε συσκευές ψηφιακής αποθήκευσης και περιουσιακά στοιχεία κρυπτονομισμάτων.
Πηγή: cyberpolice.gov.ua
Το αφεντικό Black Basta
Ο Nefedov, γνωστός στο διαδίκτυο με τα ψευδώνυμα: tramp, tr, gg, kurva, AA, Washingt0n και S.Jimmi, έχει συνδεθεί με την κυβερνοεγκληματική επιχείρηση από τον περασμένο Φεβρουάριο, αφού κάποιος διέρρευσε περισσότερα από 200.000 μηνύματα συνομιλίας μεταξύ μελών του Black Basta.
Ενώ ο Nefedov πιστεύεται ότι είναι ο ιδρυτής και ηγέτης του Black Basta, υπάρχουν επίσης αξιόπιστα στοιχεία που τον συνδέουν με το Conti, ένα πλέον ανενεργό συνδικάτο ransomware που εμφανίστηκε το 2020 ως διάδοχος του Ryuk.
Μετά το κλείσιμο του Conti, χωρίστηκε σε μικρότερα κελιά που διείσδυσαν σε άλλες λειτουργίες ransomware ή ανέλαβαν υπάρχουσες. Μία από τις νέες επιχειρήσεις ήταν η Black Basta, η οποία θεωρείται αλλαγή επωνυμίας του παλιού Conti.
Οι ερευνητές ασφαλείας στο Trellix ανέλυσαν τα κείμενα που διέρρευσαν και βρήκαν συνομιλίες μεταξύ του GG και του Chuck σχετικά με «μια ανταμοιβή 10 εκατομμυρίων δολαρίων για πληροφορίες σχετικά με το «tr» (πιθανώς «-amp»), που πιθανώς αναφέρεται στην επιβράβευση των ΗΠΑ για πέντε βασικά μέλη της συμμορίας Conti, συμπεριλαμβανομένου του χάκερ Tramp.
“Στη συνομιλία που διέρρευσε, ο GG αναγνωρίστηκε πράγματι ως Tramp (αρχηγός των Conti) από το “bio”, (γνωστό και ως “pumba”, ένα άλλο μέλος του Conti)” είπαν οι ερευνητές της Trellix.
Πρέπει να αναφερθεί ότι τον Φεβρουάριο του 2022, μετά την εισβολή της Ρωσίας στην Ουκρανία, ένας ερευνητής διέρρευσε εσωτερικές συνομιλίες από την επιχείρηση Conti, όπου ο Τραμπ αναφέρθηκε ως ηγέτης.
Ωστόσο, οι αρχές επιβεβαίωσαν επίσημα τον Nefedov ως αρχηγό της συμμορίας ransomware Black Basta και τον πρόσθεσαν στο της Ευρωπόλ “Most Wanted” και της Ιντερπόλ Λίστες «Κόκκινη Ανακοίνωση».
Η επιχείρηση Black Basta ransomware-as-a-service (RaaS) εμφανίστηκε τον Απρίλιο του 2022 και πιστεύεται ότι είναι υπεύθυνη για τουλάχιστον 600 περιστατικά ransomware, κλοπές δεδομένων και εκβιασμούς που στοχεύουν μεγάλους οργανισμούς παγκοσμίως.
Στα αξιοσημείωτα θύματα περιλαμβάνονται η γερμανική αμυντική εταιρεία Rheinmetall, το ευρωπαϊκό τμήμα της Hyundai, η BT Group (πρώην British Telecom), ο αμερικανικός γίγαντας υγειονομικής περίθαλψης Ascension, ο κυβερνητικός ανάδοχος ABB, η Αμερικανική Οδοντιατρική Ένωση, η βρετανική εταιρεία τεχνολογίας outsourcing κεφαλήτη Δημόσια Βιβλιοθήκη του Τορόντο και την Yellow Pages Canada.
Η BleepingComputer επικοινώνησε με την ουκρανική αστυνομία ζητώντας περισσότερες πληροφορίες σχετικά με την επιχείρηση, αλλά κάποιο σχόλιο δεν ήταν άμεσα διαθέσιμο.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
